Откуда хакеры берут адрес админки?
Страницы: 1 2 След.
Откуда хакеры берут адрес админки?
В общем, веду журнал страниц, которые запрашивают на сайте и которых не существует в виде "юзер-агент:запрос".Вижу сегодня следующее:
Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0; Touch; ASU2JS):/text481.php?id=13084

text481.php - это моя самодельная админка. 481 - это число, которое я меняю, чтобы невозможно было открыть случайно подобрав имя файла админки. После работы файл админки удаляется, поэтому и возникает ошибка.
id - это ид статьи. Сами статьи идут не по порядку (их всего 800, а ид аж 13084). Отсюда вывод - хакеры где-то берут конкретный адрес, который я запрашивал через браузер.
Это уже не первый случай, такой было и раньше, поэтому стал менять 481. Перебора не делают, а сразу попадают точно в цель!
Где берут? Ваши версии.
Изменено: knagty knagty - 2 Октября 2017 12:52

Прогон по твиттеру, постинг в 1500 аккунтов
Постинг в твиттер аккаунты, для ускорения индексации ваших сайтов, сателлитов, дорвеев.

Цитата
knagty knagty пишет:
...
Где берут? Ваши версии.

Вирус у вас на компе, вирус на вашем сайте и ещё могу предположить, что кто-то читает ваши куки при посещении кокого либо сайта злоумышленника.
Рекомендую хостинг в России от 115р.
Рекомендую хостинг в Европе от 70р.
Моя тема
Цитата
Diman_TS пишет:
Цитата
knagty knagty пишет:
...
Где берут? Ваши версии.

Вирус у вас на компе, вирус на вашем сайте и ещё могу предположить, что кто-то читает ваши куки при посещении кокого либо сайта злоумышленника.
Вирус не может быть причиной, у меня mac os. Крайне маловероятно.   Вируса на сайте нет и быть не может - писал сам лично с нуля собственный скрипт, как только купил его (стоял вордпресс).
Какие куки? Я их на своем сайте вообще не использую, а если бы и использовал, то как их прочесть на другом сайте? Правильно, никак...

Пожалуйста, еще версии.
Наверное, версию с ФСБ и с "гугл шпионит" можно тоже отметать сразу))
Надо же как-то этому положить конец.
Изменено: knagty knagty - 2 Октября 2017 13:25
Раз сами писали значит есть недоработки у вас, советую поискать на бирже фрилансеров исполнителя, или на подобных.
Цитата
WGN пишет:
Раз сами писали значит есть недоработки у вас, советую поискать на бирже фрилансеров исполнителя, или на подобных.
Нет. С сайтом уязвимость не связана. Этот скрипт вообще ни к чему - сам по себе. Я его заливаю непосредственно когда нужно поработать над текстами, а потом снова удаляю. Просто откуда-то взломщик узнал адрес (не просто имя файла, а конкретно запрос).Да и что за глупости, если я сам сделал скрипт, почему кто-то вдруг должен лучше меня в нем разбираться? Он простой как валенок, кроме как выводить статьи практически ничего не умеет (как и задумывалось).
knagty knagty, А как у Вас с опцией indexes?
Цитата
knagty knagty пишет:
Да и что за глупости, если я сам сделал скрипт, почему кто-то вдруг должен лучше меня в нем разбираться?
Дело не в этом я хотел сказать , что со стороны бы грамотный чел посмотрел. Может какие погрешности бы увидел.
Как вариант, может быть проблемный хостер, если это так, то взломщик мог попытать удачу и прочесть access_log, а от туда и видны были ваши запросы к админ-файлу, тот же маневр можно использовать через уязвимость на сайте, типо локального инкулуда/чтения файла, как не крути, но даже профи допускают уязвимости в своих скриптах.
Самый простой и очевидный вариант: ранее сайт был взломан и где-то в одном из каталогов (или уже в виде инъекции в php файле) есть хакерская "закладка" (бэкдор) или даже веб-шелл. Через него можно открыть листинг корневого каталога сайта и посмотреть имена файлов. Первое, что нужно сделать - это проверить файлы и каталоги сайта на хакерские шеллы и бэкдоры (например, Ai-BOLIT'ом https://revisium.com/ai/). Если рядом с вашим сайтом есть еще сайты - проверьте их все. Будут вопросы по результатам сканирования - пишите авторам на почту (контакты есть в отчете сканера).  
Цитата
Принципал пишет:
knagty knagty, А как у Вас с опцией indexes?
Интересно, а как она может навредить?Options +Indexes
Это речь об опции в .htaccess? Я сейчас проверил, ее там нет.

Нашел тут https://masterhost.ru/support/doc/apache/
"По умолчанию включена директива Options -Indexes, и в случае отсутствия индексной страницы вы получите HTTP ошибку 403."
То есть, здесь все нормально. Но, даже если бы хакер видел файлы, он бы не знал, какую именно статью нужно открыть. То есть /text481.php, но не /text481.php?id=13084
Цитата
flynstr пишет:
Как вариант, может быть проблемный хостер, если это так, то взломщик мог попытать удачу и прочесть access_log, а от туда и видны были ваши запросы к админ-файлу, тот же маневр можно использовать через уязвимость на сайте, типо локального инкулуда/чтения файла, как не крути, но даже профи допускают уязвимости в своих скриптах.
В хостинге уверен. sweb. Не думаю, что они какие-то лошки =)Но даже если бы зашли на хостинг, заполучив пароль... Все равно, там этого лога нет. Есть только .authfile и .bash_history из "лишних" файлов


Насчет инклюда... У меня всего 1 файл index.html, файл с функциями и файл для ajax запросов, все... Я бы заметил, если было бы что-то лишнее.
Цитата
Григорий пишет:
Самый простой и очевидный вариант: ранее сайт был взломан и где-то в одном из каталогов (или уже в виде инъекции в php файле) есть хакерская "закладка" (бэкдор) или даже веб-шелл. Через него можно открыть листинг корневого каталога сайта и посмотреть имена файлов. Первое, что нужно сделать - это проверить файлы и каталоги сайта на хакерские шеллы и бэкдоры (например, Ai-BOLIT'ом https://revisium.com/ai/). Если рядом с вашим сайтом есть еще сайты - проверьте их все. Будут вопросы по результатам сканирования - пишите авторам на почту (контакты есть в отчете сканера).
Это исключено. Скрипт сайта был создан с чистого листа. Ничего лишнего нет и быть не может. От вордпресса и всего что в нем было ничего не осталось. Хотя... Папка с картинками осталась в неизменном виде, попробую прошерстить ее.
Проверил... Ничего, кроме картинок, нет. А даже если в какой-то картинке есть php код, он не выполнится.
AddType application/x-httpd-php .php .htm .html .phtml
Изменено: knagty knagty - 3 Октября 2017 04:13
Источник компрометации доступов быстро выясняется, если на сайт повесить расширенный мониторинг запросов. Плюс я бы все-таки рекомендовал просканировать свежей версией AI-BOLIT в параноидальном режиме. Мы (revisium.com) обычно такие вопросы достаточно быстро решаем, поскольку есть необходимый инструментарий для диагностики. Насчет "это исключено" - я бы не исключал никаких возможностей. Каких только "чудес" не насмотрелся за 7 лет лечения и защиты сайтов )
А в роботс ее нет? Видел программы которые перебирают около 400 стандартных URL и в слаче возврата 200ой оповещают.

Выход в интернет с дома? Свой роутер? Трафик не снифают?
Цитата
AleXMan74 пишет:
А в роботс ее нет? Видел программы которые перебирают около 400 стандартных URL и в слаче возврата 200ой оповещают.

Выход в интернет с дома? Свой роутер? Трафик не снифают?
В роботс однозначно ничего похожего нет. Если бы и было, то без параметра ?id=ид_статьиИнтернет домашний.
Откуда-то берут ведь. До сих пор такая лажа:
"Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.137 YaBrowser/17.4.1.1026 Yowser/2.5 Safari/537.36:/text43.php?id=1315"
Это точно не я был.
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)