Меня пытаются взломать? - Безопасность сайтов на Joomla

Доброе утро!

Такое дело:
У меня 2 сайта на Joomla, сделаны они были примерно в одно и то же время, на обоих стоит jSecure (ну, знаете, чтобы входить в админ панель через www.***.ru/administrator/?секретное-слово). Мне на e-mail приходят уведомления, когда кто-то пытается войти в админ.панель. Такие письма поступают эпизодически с разных IP-адресов. Но в последние три дня меня атакует некий 96.31.91.133! Он без конца пытается заходить в админки то одного, то другого сайтов, при этом не вводит вообще никакое секретное слово - все уведомления мне на e-mail имеют такой вид:

Currently Some User has try to access the administrator from following IP:96.31.91.133
USING KEY:

Что он делает, как вы думаете? И что я могу сделать, чтобы его угомонить?  !

Спасибо!

И что я могу сделать, чтобы его угомонить?

Забаньте его. В .htaccess

И куда здесь вставлять?...


##
# @version      $Id: htaccess.txt 21101 2011-04-07 15:47:33Z dextercowley $
# @package      Joomla
# @copyright   Copyright (C) 2005 - 2011 Open Source Matters. All rights reserved.
# @license      GNU General Public License version 2 or later; see LICENSE.txt
##

##
# READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE!
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your SEF url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
##

## Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

## Mod_rewrite in use.

RewriteEngine On

## Begin - Rewrite rules to block out some common exploits.
# If you experience problems on your site block out the operations listed below
# This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to base64_encode data within the URL.
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
# Block out any script that includes a <script> tag in URL.
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL.
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL.
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Return 403 Forbidden header and show the content of the root homepage
RewriteRule .* index.php [F]
#
## End - Rewrite rules to block out some common exploits.

## Begin - Custom redirects
#
# If you need to redirect some pages, or set a canonical non-www to
# www redirect (or vice versa), place that code here. Ensure those
# redirects use the correct RewriteRule syntax and the [R=301,L] flags.
#
## End - Custom redirects

##
# Uncomment following line if your webserver's URL
# is not directly related to physical file paths.
# Update Your Joomla! Directory (just / for root).
##

# RewriteBase /

## Begin - Joomla! core SEF Section.
#
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
#
# If the requested path and file is not /index.php and the request
# has not already been internally rewritten to the index.php script
RewriteCond %{REQUEST_URI} !^/index\.php
# and the request is for something within the component folder,
# or for the site root, or for an extensionless URL, or the
# requested URL ends with one of the listed extensions
RewriteCond %{REQUEST_URI} /component/|(/[^.]*|\.(php|html?|feed|pdf|vcf|raw))$ [NC]
# and the requested path and file doesn't directly match a physical file
RewriteCond %{REQUEST_FILENAME} !-f
# and the requested path and file doesn't directly match a physical folder
RewriteCond %{REQUEST_FILENAME} !-d
# internally rewrite the request to the index.php script
RewriteRule .* index.php [L]
#
## End - Joomla! core SEF Section.

Забань его в iptables.

И куда здесь вставлять?...

Вставьте в самый низ.

Могу дополнить

IP адрес: 96.31.91.133
Страна: United States
Регион: Florida
Город: Tampa
Широта: 27.8867
Долгота: -82.5117
Ваш браузер: Mozilla/Netscape 6.x
Операционная система: Microsoft Windows XP

Если они тебе не нужны то забани всю подсеть

Спасибо! Забанила всю подсеть - посмотрим, что будет.  

А вы знаете, этот чувак все ломится...
Я правильно понимаю, что приписка в файле .htaccess не даст ему войти в админ.панель, даже если он узнает кодовое слово, логин и пароль?

Он не должен попадать на сайт вообще
Все что он может видеть это 403 - Forbidden
Eсли он проходит то что то вы сделали не так, )) добавить еще одну строку deny from с вашим IP и попробуйте войти

Есть вероятность, что это бот, и он юзает прокси, так что бан IP или всей подсети может ничего не дать!
Так, что пока он ничего плохого не сделал, просто не обращать внимание.
А вообще тут есть, пример как скрыть следы по которым определяют CMS, что даст немного больше толку от ботов чем их бан

Вроде репутация не плохая

Есть вероятность, что это бот, и он юзает прокси, так что бан IP или всей подсети может ничего не дать!

Это как? Если он юзает проксю, то мы на сайте получаем IP прокси или я уже ничего не понимаю?

Это как? Если он юзает проксю, то мы на сайте получаем IP прокси или я уже ничего не понимаю?

Ты глубоко заблуждаешься! На самом деле прокси юзают чтобы показать свой IP всему миру!

Немного оффтопа. С этого IP ко мне на компьютер кто то пытался прорваться. Касперский выдал:" сетевая атака! Intrusion.Generic.Banned.IP.i объект 96.31.91.133 запрещено! атакующий компьютер заблокирован". К чему бы это?

п.с.
Пользуюсь простой директивой

Я таких "интрудеров" блокирую не открывая .htaccess...  Через cPanel.  Таким образом, IP плохиша прописывается во все .htaccess файлы (если у Вас больше, чем один сайт) и туда, куда надо.
А ещё, месяцев несколько назад, начал использовать сервиц CloudFlare.  Это, так сказать, прокси сервис, пропускающий через себя весь трафик к Вашему сайту. Помимо защиты там есть и статистика посещений и даже блокировать желающих можно прям там, из своей контрольной панели (нажатием одной кнопки), и т. д.  Да и прелесть ещё и в том, что это всё удовольствие емеет бесплатный вариант

Это как? Если он юзает проксю, то мы на сайте получаем IP прокси или я уже ничего не понимаю?

Ну типа того =)

Ко мне он (96.31.91.133) тоже ломится, каждый день с 15 апреля.

Настучал на него за вас но вы можете тоже принять в этом участие ))

http://www.abuseipdb.com/check/96.31.91.133

http://www.myiptest.com/

OrgAbuseHandle: NAA7-ARIN
OrgAbuseName: Noc4Hosts Abuse Admin
OrgAbusePhone: +1-877-801-1443
OrgAbuseEmail: abuse(at)noc4hosts.com
OrgAbuseRef: http://whois.arin.net/rest/poc/NAA7-ARIN

Ломится ко мне ежедневно с интервалом в 3 часа
Поставил запрет как написано 

хех, а что смешного то?
надо тоже поискать у себя

Просто когда заметил было так в логах Joomla :Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте
А теперь: [error] [client 96.31.91.133] client denied by server configuration:

Настучал на него за вас но вы можете тоже принять в этом участие ))

http://www.abuseipdb.com/check/96.31.91.133

http://www.myiptest.com/

классная вещь
так получается?

буду знать

Я так понял, если на сайте вирус (скрипт например) - то этот сервис покажет ошибку?

PS помнится был какой то сервис, но там это было за денюшку ,  терь буду знать
за ссыль +

Эта картинка ни о чём конкретном ещё не говорит...
Вот эта - http://www.abuseipdb.com/report-history/96.31.91.133  немного пролиает свет, да и то только исходя из того, что кто-то настучал на него в прошлом...

По идее, насколько мне приходилось встречаться с подобными "сервисами" как www.stopforumspam.com и тд - то, похоже, что какое-то сканирование делается

Посмотрел сегодня, он видно увеличил кол-во запросов, за сегодня уже 18 обращений с этого ип!

Встречаем новый ип адрес
8 обращений за сегодня
более 100 за последнее время!

68.233.226.183 - - [11/May/2012:12:12:04 +0400] "GET /administrator/ HTTP/1.0" 200

2012-05-11   05:28:29   INFO   68.233.226.183   Joomla FAILURE:    Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте

deny from 68.233.226.183 в .htaccess и досвидания, а еще лучше в директорию administrator положить файл  .htaccess и написать там deny from all , а наследующей строке allow from ваш.ip.адрес

насчет deny from 68.233.226.183 согласен, прописать надо в administrator/.htaccess
по поводу deny from all + allow from ваш.ip.адрес хорошо только в том случае, если у вас постоянный IP, в случае с динамическим замучаетесь менять.
дополнительно можно защитить папку administrator с помощью http аутенитфикации, т.е. установить на нее пароль

Ну тут уж дальше на сколько фантазия разыграется.))))))))) Да  это способ который я описал сам использую уже давно и сплю спокойно т.к. постоянный IP.

у меня 2 сайта на Joomla, сделаны они были примерно в одно и то же время, на обоих стоит jSecure (ну, знаете, чтобы входить в админ панель через www.***.ru/administrator/?секретное-слово). Мне на e-mail приходят уведомления, когда кто-то пытается войти в админ.панель.

А для того чтобы письма на e-mail приходили нужно это в каких то настройках выставить? У меня просто тоже такой плагин стоит, и обнаруживаю у себя слишком много открывается страница ошибки-404. Это может тоже кто то ломится в админку? Не подскажите как по другому узнать!