0 Пользователей и 1 Гость просматривают эту тему.
  • 21 Ответов
  • 642 Просмотров
*

glebka

  • Осваиваюсь на форуме
  • 28
  • 0
В .htaccess прописана
RewriteCond %{HTTP_REFERER} !site.ru/administrator/
RewriteCond %{QUERY_STRING} !^qwztvnfgw2n9shygfkn845fr9piqw87
RewriteRule ^.*administrator/? /not_found [R,L]

для входа в адмику с ключом administrator/?......
Но проблема в том, что есть 4 сайта, от которых узнают любые ключи /?....... и 20 символьные тоже.
Я не могу понять каким образом? Они видят мой ключ или у них такие мощности перебора вариантов ключей?
:D
Они залезают в админ и перебирают пароли (при чём тупые... admin - 123), узнаю об этом за счёт rsфаервола, он их блокирует и всё ок. Но потом опять лезут с других IP.
htaccess и htpasswd помогает, НО по разным причинам не могу использовать их на этих сайтах.

Ребят, кто знает ответ на мои вопросы?
« Последнее редактирование: 06.09.2016, 07:14:59 от glebka »
*

Stasweb

  • Живу я здесь
  • 1087
  • 18
Поставьте Admin Exile - http://extensions.joomla.org/extension/adminexile
Там есть блокировка по ип. Допустим с одного ипа идет 3 запроса неправильные то он его блокирует на то время что вы выставили а также отправляет на почту письмо что кто то пытался попасть в админку плюс есть блек лист ип адресов
*

winstrool

  • Завсегдатай
  • 769
  • 40
  • Свободен для работы
htaccess и htpasswd помогает, НО по разным причинам не могу использовать их на этих сайтах.
Может быть, имеет смысл в админку пускать только по определенным IP? диапазонам?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Stasweb

  • Живу я здесь
  • 1087
  • 18
Так же можно попробовать по средством хостинга скрыть папку administrator как вариант
В Admin Exile можно задать что то типа administrator/?...._...._....._456465465_... и при необходимости быстро менять в админке.
Еще как я писал есть блек лист что также запретит ботам доступ
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Ключ для входа хранится в параметрах плагина в phpMyAdmin. А значит и пароль админа могут менять без доступа к админке, а через базу данных.
*

glebka

  • Осваиваюсь на форуме
  • 28
  • 0
Блин.. ребят..у меня другой вопрос)) - как они узнают ключ после /?......

На сайтах у моих клиентов стоит rsfirewall он блокирует IP тех кто подбирает пароль, и мне на почту приходят уведомления об этом.
А в htaccess в корне прописан путь ключа входа в админку. Я не использую плагины, а htaccess.
Joomla стоит на одних сайтах 2.28, на других 3.6.2 (так для справки), сайты на разных хостингах

И мне не понятен момент, если я меняю ключ administrator/?sdd792sdhfr294 на administrator/?qwz4973fgt372 (длина до 20 символов), то в течении 2х суток опять снова подбор паролей. А перебор паролей тупой.. типа admin - 123 и тп. Как они узнают новый ключ? Это фишка какая-то новая?

У меня с 2008 года стоял ключ к админке в htaccess и до этого лета проблем не было, а с лета на многих сайтах появился такой прикол.
Я бы мог предположить, что возможно есть дыра на одном из сайтов и видят корни сайтов, где и прописан ключ, но сайты на разных хостингах...
« Последнее редактирование: 06.09.2016, 09:17:39 от glebka »
*

glebka

  • Осваиваюсь на форуме
  • 28
  • 0
Может быть, имеет смысл в админку пускать только по определенным IP? диапазонам?

может.. но сайты клиентов.. у них несколько человек заходят в админку
« Последнее редактирование: 06.09.2016, 09:33:34 от glebka »
*

glebka

  • Осваиваюсь на форуме
  • 28
  • 0
Так же можно попробовать по средством хостинга скрыть папку administrator как вариант
В Admin Exile можно задать что то типа administrator/?...._...._....._456465465_... и при необходимости быстро менять в админке.
Еще как я писал есть блек лист что также запретит ботам доступ


По средствам хостинга, в смысле, изменить название папки administrator? Так компоненты будут с ошибками работать. Или Вы про другое?
Admin Exile, а зачем он нужен? Те же функции htaccess выполняет, и плагинов не надо) просто и удобно))
На счёт ботов не знаю.. скорее user агенты пустые закрыть надо, они и закрыты.
*

draff

  • Практически профи
  • 2770
  • 171
  • step by step
Блин.. ребят..у меня другой вопрос)) - как они узнают ключ после /?......
Я бы мог предположить, что возможно есть дыра на одном из сайтов и видят корни сайтов, где и прописан ключ, но сайты на разных хостингах...
Ну прочитал невнимательно. Обычно используют плагины. Че кричать.
Тогда вариант - вирус в компе или сниффер слушает IP
*

flyingspook

  • Moderator
  • 3619
  • 236
htaccess и htpasswd помогает, НО по разным причинам не могу использовать их на этих сайтах.
придется использовать, другое не панацея, и как выше написали можно доступ по диапазонам IP сделать
*

winstrool

  • Завсегдатай
  • 769
  • 40
  • Свободен для работы
может.. но сайты клиентов.. у них несколько человек заходят в админку
Под несколько человек и сделать доступ, самое оптимальное решение, там хоть знают, хоть не знают ключ, уже будет пофиг!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

Missile

  • Живу я здесь
  • 808
  • 80
Пароли от FTP поменяйте и сайты просканируйте Айболитом на предмет зловредов. Точнее, вначале просканируйте, а потом - поменяйте. Если есть шелл, то можно хоть какие пароли в htaccess писать. А перебор паролей может быть тупой работой бота, с наличием шелла никак не связанной. То есть, одни нашли дырку и поимели, а другие пока пытаются.
htaccess нужно класть в папку administrator, а htpasswd - на уровень выше основной папки. И права на директории проверьте. Вообще, если хотите провести аудит безопасности, то Вам - в коммерческий раздел, потому что тут любые предположения будут гаданием на кофейной гуще из-за отсутствия всей необходимой информации и доступа к пациенту.
*

flyingspook

  • Moderator
  • 3619
  • 236
 :laugh:
Пароли от FTP поменяйте и сайты просканируйте Айболитом на предмет зловредов. Точнее, вначале просканируйте, а потом - поменяйте. Если есть шелл, то можно хоть какие пароли в htaccess писать. А перебор паролей может быть тупой работой бота, с наличием шелла никак не связанной. То есть, одни нашли дырку и поимели, а другие пока пытаются.
htaccess нужно класть в папку administrator, а htpasswd - на уровень выше основной папки. И права на директории проверьте. Вообще, если хотите провести аудит безопасности, то Вам - в коммерческий раздел, потому что тут любые предположения будут гаданием на кофейной гуще из-за отсутствия всей необходимой информации и доступа к пациенту.
:laugh: :laugh: :laugh: :laugh: :laugh:
зачем брутить когда залит шел, голову включаем, а брутят через post что плагин не защищает или через get дает возможность как это бывает после очередности ошибок, тут ключ и не надо узнавать  ;)
и зачем что то класть в папку или выше, сейчас любой менеджер файлов автоматом за вас все сделает, есть такой секрет  ;) называется -ограничение доступа- к файлу или папке логин и пас ввел и все файлы запишутся куда надо  ^-^
*

Missile

  • Живу я здесь
  • 808
  • 80
Цитировать
зачем брутить когда залит шел, голову включаем
Зрение включаем: брутфорсит школота при помощи прог по принципу "вдруг проканает", а гипотетический шелл залит не ими.
*

glebka

  • Осваиваюсь на форуме
  • 28
  • 0
а брутят через post что плагин не защищает или через get дает возможность как это бывает после очередности ошибок, тут ключ и не надо узнавать  ;)

а можно подробнее об этом? я как понял.. htaccess "с ключом" в этом случае не помогает?
*

glebka

  • Осваиваюсь на форуме
  • 28
  • 0
Зрение включаем: брутфорсит школота при помощи прог по принципу "вдруг проканает", а гипотетический шелл залит не ими.

flyingspook, имел ввиду, что если юзер залил шел, то ему смысла нет брутить, так как с залитым шелом он и так получил доступ к сайту.
*

dmitry_stas

  • Профи
  • 9993
  • 947
glebka, а что у вас в логах обращений? по какому url долбят? этот url содержит ваш "ключ"?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

glebka

  • Осваиваюсь на форуме
  • 28
  • 0
glebka, а что у вас в логах обращений? по какому url долбят? этот url содержит ваш "ключ"?

нет, не содержит.
*

dmitry_stas

  • Профи
  • 9993
  • 947
а вообще попытки подбора ключа есть? а эти ваши "в течении 2х суток" - они всегда имеют исключительно временной интервал, или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?
Тут дарят бакс просто за регистрацию! Успей получить!
Все советы на форуме раздаю бесплатно, то есть даром. Индивидуально бесплатно консультирую только по вопросам стоимости индивидуальных консультаций
*

flyingspook

  • Moderator
  • 3619
  • 236
а можно подробнее об этом? я как понял.. htaccess "с ключом" в этом случае не помогает?
htaccess должен помогать, но может и не на все 100%, а различные плагины обычно имеют бреши

или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?
как вариант это полностью может быть, тут надо анализировать логи, может троян сидит на какой либо машине менегера
*

glebka

  • Осваиваюсь на форуме
  • 28
  • 0
а вообще попытки подбора ключа есть? а эти ваши "в течении 2х суток" - они всегда имеют исключительно временной интервал, или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?

в логах ключа нигде не вино :o :o

site.ru  91.210.147.83 - - [07/Sep/2016:02:48:23 +0300] "GET / HTTP/1.1" 200 5040 "http://site.ru" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.147.83 - - [07/Sep/2016:02:48:39 +0300] "GET /administrator/ HTTP/1.1" 200 2875 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:03:21 +0300] "POST /administrator/ HTTP/1.1" 303 20 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:03:28 +0300] "GET /administrator/ HTTP/1.1" 200 3026 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:11:45 +0300] "GET /administrator/ HTTP/1.1" 200 2876 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru  91.210.145.43 - - [07/Sep/2016:04:11:58 +0300] "POST /administrator/ HTTP/1.1" 303 20 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru   91.210.145.43 - - [07/Sep/2016:04:12:01 +0300] "GET /administrator/ HTTP/1.1" 200 3030 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"

site.ru  91.210.145.43 - - [07/Sep/2016:04:18:15 +0300] "GET /administrator/ HTTP/1.1" 200 2877 "http://site.ru/administrator/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36"
« Последнее редактирование: 07.09.2016, 15:12:14 от glebka »
*

glebka

  • Осваиваюсь на форуме
  • 28
  • 0
а вообще попытки подбора ключа есть? а эти ваши "в течении 2х суток" - они всегда имеют исключительно временной интервал, или может быть они привязаны к например событию входа конкретного менеджера, который имеет доступ к админке?

Хорошие вопросы))
Попыток подбора нету, как раз посмотрел логи и увидел. Интервал разный всегда, к событию не привязан, не думаю.
Вчера днём пытались зайти, сегодня ночью, до этого на выходных и тд..всегда в разное время.
А логи, которые я отправил говорят о чём-то?
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

htaccess SetEnv noconntimeout 1, SecRuleEngine Off

Автор biosila

Ответов: 2
Просмотров: 314
Последний ответ 09.12.2016, 01:10:39
от winstrool
Плагин/модуль блокирование по IP если не удачная попытка входа с морды сайта

Автор mister_boy

Ответов: 14
Просмотров: 384
Последний ответ 06.10.2016, 11:58:45
от SeBun
Перезапись.htaccess. Добавление файлов в каталог сайта

Автор Struc

Ответов: 2
Просмотров: 480
Последний ответ 04.09.2016, 13:26:28
от wishlight
htaccess и htpasswd пароль только на url с параметром например "index.php?test"

Автор ice99

Ответов: 4
Просмотров: 319
Последний ответ 28.08.2016, 20:52:51
от flyingspook
Ошибка со входом в админку. Сообщение сервера: Subdomain authorization

Автор Ayano

Ответов: 16
Просмотров: 745
Последний ответ 02.08.2016, 17:00:16
от flyingspook