htaccess смена входа в админку не помогает, узнают ключ - Безопасность сайтов на Joomla

В .htaccess прописана
RewriteCond %{HTTP_REFERER} !site.ru/administrator/
RewriteCond %{QUERY_STRING} !^qwztvnfgw2n9shygfkn845fr9piqw87
RewriteRule ^.*administrator/? /not_found [R,L]

для входа в адмику с ключом administrator/?......
Но проблема в том, что есть 4 сайта, от которых узнают любые ключи /?....... и 20 символьные тоже.
Я не могу понять каким образом? Они видят мой ключ или у них такие мощности перебора вариантов ключей?

Они залезают в админ и перебирают пароли (при чём тупые... admin - 123), узнаю об этом за счёт rsфаервола, он их блокирует и всё ок. Но потом опять лезут с других IP.
htaccess и htpasswd помогает, НО по разным причинам не могу использовать их на этих сайтах.

Ребят, кто знает ответ на мои вопросы?

Поставьте Admin Exile - http://extensions.joomla.org/extension/adminexile
Там есть блокировка по ип. Допустим с одного ипа идет 3 запроса неправильные то он его блокирует на то время что вы выставили а также отправляет на почту письмо что кто то пытался попасть в админку плюс есть блек лист ип адресов

htaccess и htpasswd помогает, НО по разным причинам не могу использовать их на этих сайтах.

Может быть, имеет смысл в админку пускать только по определенным IP? диапазонам?

Так же можно попробовать по средством хостинга скрыть папку administrator как вариант
В Admin Exile можно задать что то типа administrator/?...._...._....._456465465_... и при необходимости быстро менять в админке.
Еще как я писал есть блек лист что также запретит ботам доступ

Ключ для входа хранится в параметрах плагина в phpMyAdmin. А значит и пароль админа могут менять без доступа к админке, а через базу данных.

Блин.. ребят..у меня другой вопрос)) - как они узнают ключ после /?......

На сайтах у моих клиентов стоит rsfirewall он блокирует IP тех кто подбирает пароль, и мне на почту приходят уведомления об этом.
А в htaccess в корне прописан путь ключа входа в админку. Я не использую плагины, а htaccess.
Joomla стоит на одних сайтах 2.28, на других 3.6.2 (так для справки), сайты на разных хостингах

И мне не понятен момент, если я меняю ключ administrator/?sdd792sdhfr294 на administrator/?qwz4973fgt372 (длина до 20 символов), то в течении 2х суток опять снова подбор паролей. А перебор паролей тупой.. типа admin - 123 и тп. Как они узнают новый ключ? Это фишка какая-то новая?

У меня с 2008 года стоял ключ к админке в htaccess и до этого лета проблем не было, а с лета на многих сайтах появился такой прикол.
Я бы мог предположить, что возможно есть дыра на одном из сайтов и видят корни сайтов, где и прописан ключ, но сайты на разных хостингах...

Может быть, имеет смысл в админку пускать только по определенным IP? диапазонам?

может.. но сайты клиентов.. у них несколько человек заходят в админку

Так же можно попробовать по средством хостинга скрыть папку administrator как вариант
В Admin Exile можно задать что то типа administrator/?...._...._....._456465465_... и при необходимости быстро менять в админке.
Еще как я писал есть блек лист что также запретит ботам доступ

По средствам хостинга, в смысле, изменить название папки administrator? Так компоненты будут с ошибками работать. Или Вы про другое?
Admin Exile, а зачем он нужен? Те же функции htaccess выполняет, и плагинов не надо) просто и удобно))
На счёт ботов не знаю.. скорее user агенты пустые закрыть надо, они и закрыты.

Блин.. ребят..у меня другой вопрос)) - как они узнают ключ после /?......
Я бы мог предположить, что возможно есть дыра на одном из сайтов и видят корни сайтов, где и прописан ключ, но сайты на разных хостингах...

Ну прочитал невнимательно. Обычно используют плагины. Че кричать.
Тогда вариант - вирус в компе или сниффер слушает IP

htaccess и htpasswd помогает, НО по разным причинам не могу использовать их на этих сайтах.

придется использовать, другое не панацея, и как выше написали можно доступ по диапазонам IP сделать

может.. но сайты клиентов.. у них несколько человек заходят в админку

Под несколько человек и сделать доступ, самое оптимальное решение, там хоть знают, хоть не знают ключ, уже будет пофиг!

Пароли от FTP поменяйте и сайты просканируйте Айболитом на предмет зловредов. Точнее, вначале просканируйте, а потом - поменяйте. Если есть шелл, то можно хоть какие пароли в htaccess писать. А перебор паролей может быть тупой работой бота, с наличием шелла никак не связанной. То есть, одни нашли дырку и поимели, а другие пока пытаются.
htaccess нужно класть в папку administrator, а htpasswd - на уровень выше основной папки. И права на директории проверьте. Вообще, если хотите провести аудит безопасности, то Вам - в коммерческий раздел, потому что тут любые предположения будут гаданием на кофейной гуще из-за отсутствия всей необходимой информации и доступа к пациенту.

 

Пароли от FTP поменяйте и сайты просканируйте Айболитом на предмет зловредов. Точнее, вначале просканируйте, а потом - поменяйте. Если есть шелл, то можно хоть какие пароли в htaccess писать. А перебор паролей может быть тупой работой бота, с наличием шелла никак не связанной. То есть, одни нашли дырку и поимели, а другие пока пытаются.
htaccess нужно класть в папку administrator, а htpasswd - на уровень выше основной папки. И права на директории проверьте. Вообще, если хотите провести аудит безопасности, то Вам - в коммерческий раздел, потому что тут любые предположения будут гаданием на кофейной гуще из-за отсутствия всей необходимой информации и доступа к пациенту.

зачем брутить когда залит шел, голову включаем, а брутят через post что плагин не защищает или через get дает возможность как это бывает после очередности ошибок, тут ключ и не надо узнавать  
и зачем что то класть в папку или выше, сейчас любой менеджер файлов автоматом за вас все сделает, есть такой секрет  называется -ограничение доступа- к файлу или папке логин и пас ввел и все файлы запишутся куда надо 

зачем брутить когда залит шел, голову включаем

Зрение включаем: брутфорсит школота при помощи прог по принципу "вдруг проканает", а гипотетический шелл залит не ими.

а брутят через post что плагин не защищает или через get дает возможность как это бывает после очередности ошибок, тут ключ и не надо узнавать 

а можно подробнее об этом? я как понял.. htaccess "с ключом" в этом случае не помогает?

Зрение включаем: брутфорсит школота при помощи прог по принципу "вдруг проканает", а гипотетический шелл залит не ими.

flyingspook, имел ввиду, что если юзер залил шел, то ему смысла нет брутить, так как с залитым шелом он и так получил доступ к сайту.

glebka, а что у вас в логах обращений? по какому url долбят? этот url содержит ваш "ключ"?

glebka, а что у вас в логах обращений? по какому url долбят? этот url содержит ваш "ключ"?

нет, не содержит.

а вообще попытки подбора ключа есть? а эти ваши "в течении 2х суток" - они всегда имеют исключительно временной интервал, или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?

а можно подробнее об этом? я как понял.. htaccess "с ключом" в этом случае не помогает?

htaccess должен помогать, но может и не на все 100%, а различные плагины обычно имеют бреши

или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?

как вариант это полностью может быть, тут надо анализировать логи, может троян сидит на какой либо машине менегера

а вообще попытки подбора ключа есть? а эти ваши "в течении 2х суток" - они всегда имеют исключительно временной интервал, или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?

в логах ключа нигде не вино

site.ru  91.210.147.83 - - [07/Sep/2016:02:48:23 +0300] "GET / HTTP/1.1" 200 5040 "http://site.ru" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.147.83 - - [07/Sep/2016:02:48:39 +0300] "GET /administrator/ HTTP/1.1" 200 2875 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:03:21 +0300] "POST /administrator/ HTTP/1.1" 303 20 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:03:28 +0300] "GET /administrator/ HTTP/1.1" 200 3026 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:11:45 +0300] "GET /administrator/ HTTP/1.1" 200 2876 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru  91.210.145.43 - - [07/Sep/2016:04:11:58 +0300] "POST /administrator/ HTTP/1.1" 303 20 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:12:01 +0300] "GET /administrator/ HTTP/1.1" 200 3030 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru  91.210.145.43 - - [07/Sep/2016:04:18:15 +0300] "GET /administrator/ HTTP/1.1" 200 2877 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

а вообще попытки подбора ключа есть? а эти ваши "в течении 2х суток" - они всегда имеют исключительно временной интервал, или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?

Хорошие вопросы))
Попыток подбора нету, как раз посмотрел логи и увидел. Интервал разный всегда, к событию не привязан, не думаю.
Вчера днём пытались зайти, сегодня ночью, до этого на выходных и тд..всегда в разное время.
А логи, которые я отправил говорят о чём-то?