Доброго всем друзья. Прошу помочь вернуть к жизни сайт и понять где возможно была дыра в безопасности (
Есть сайт на Джумла 3.7.5. На сайте для безопасности установлен Akeeba Tools и настроен фаервол, который блочит IP на 20 минут после некорректно введенных учетных данных + доступ в админку скрыт этим же плагином. Чтобы попасть в админку надо в конце ссылки добавлять еще некоторую фразу типа
http://site.ru/administrator/index.php?<секретная фраза>. Думал этого достаточно. Да и прецедентов не было, за год существования сайта. Сегодня с 8 утра, на почту стали валиться сообщения от этого плагина, что с такого-то IP я так понял была попытка добавить супер пользователя. Он типа был добавлен, но заблокирован. Ниже я приведу куски таких сообщений от Akeeba Tool.
Сайт пока работает и доступен. Вроде ни чего на нем не изменилось. Но я не могу пользоваться админкой. Пробовал с разных IP. Захожу значит в админку и через пару сек. на странице сообщение "You are a spammer, hacker or an otherwise bad person." Это сообщение фаервола плагина. Он так говорит когда с какого-то IP подбирают пароль. И я не могу посмотреть нормально ни логи, ни какие учетки там еще есть или нет. Ведь я с первого раза зашел в админку, т.к. знаю пароль, почему он меня блочит?
Теперь примеры сообщений от Akeeba Tool1) -------------------------------------------------------
Hello,
We would like to notify you that we detected the suspicious addition of one or more Super User accounts to your site, <мой сайт>. These new Super User accounts do not seem to have been created through the regular means, i.e. Joomla's “Users” page. Therefore they have been blocked. The new Super User accounts detected and blocked are:
• #373 – spectrum_admin – Администратор <моя почта>
----------------------------------------------------------
таких сообщений №1 за сегодня очень много пришло в почту от плагина!
2)--------
пришло только что--------------------------
Hello,
We would like to notify you that the IP address 146.120.56.221 is now blocked from accessing your site, <мой сайт>, with the following details:
IP Address: 146.120.56.221 (IP Lookup: IP Lookup)
Reason: Auto-banned IP address
Banned until: 2017-10-18 18:35:29
If this is your own IP address and you can no longer access your site please follow our instructions to temporarily disable Admin Tools' Web Application Firewall and clear the automatic IP ban
это не мой IP
----------------------------------------------------------
3)----------
А это самое первое сообщение из сегодняшних когда все началось---------------------------------------------
Hello,
We would like to notify you that user spectrum_admin has just logged in to the administrator back-end area of your site, <мой сайт>. Further information:
Username: spectrum_admin
IP address: 158.181.26.134 (IP Lookup)
Country*: (unknown country)
Continent*: (unknown continent)
Browser User Agent string: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:56.0) Gecko/20100101 Firefox/56.0
* Country and continent information availability and accuracy depend on the GeoIP database installed on your site.
If this expected you need to do nothing about it. If you suspect a hacking attempt, please log in to your site's back-end immediately and activate Admin Tools' Emergency Off-Line mode at once.
Best regards,
----------------------------------------------------------------------------------------------------------------------------------------
Что такое spectrum_admin? И как победить атаки? Пока не пойму, в сообщениях говорится, что были созданы еще учетные записи супер пользователя, нестандартными средствами, но они были заблокированы. Как интересно?
Прошу помочь!
Спасибо!