Откуда хакеры берут адрес админки?
Страницы: 1 2 След.
Откуда хакеры берут адрес админки?
В общем, веду журнал страниц, которые запрашивают на сайте и которых не существует в виде "юзер-агент:запрос".Вижу сегодня следующее:
Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0; Touch; ASU2JS):/text481.php?id=13084

text481.php - это моя самодельная админка. 481 - это число, которое я меняю, чтобы невозможно было открыть случайно подобрав имя файла админки. После работы файл админки удаляется, поэтому и возникает ошибка.
id - это ид статьи. Сами статьи идут не по порядку (их всего 800, а ид аж 13084). Отсюда вывод - хакеры где-то берут конкретный адрес, который я запрашивал через браузер.
Это уже не первый случай, такой было и раньше, поэтому стал менять 481. Перебора не делают, а сразу попадают точно в цель!
Где берут? Ваши версии.
Изменено: knagty knagty - 2 Октября 2017 12:52

Бесплатная контекстная реклама

Цитата
knagty knagty пишет:
...
Где берут? Ваши версии.

Вирус у вас на компе, вирус на вашем сайте и ещё могу предположить, что кто-то читает ваши куки при посещении кокого либо сайта злоумышленника.
Рекомендую хостинг в России от 115р.
Рекомендую хостинг в Европе от 70р.
Моя тема
Цитата
Diman_TS пишет:
Цитата
knagty knagty пишет:
...
Где берут? Ваши версии.

Вирус у вас на компе, вирус на вашем сайте и ещё могу предположить, что кто-то читает ваши куки при посещении кокого либо сайта злоумышленника.
Вирус не может быть причиной, у меня mac os. Крайне маловероятно.   Вируса на сайте нет и быть не может - писал сам лично с нуля собственный скрипт, как только купил его (стоял вордпресс).
Какие куки? Я их на своем сайте вообще не использую, а если бы и использовал, то как их прочесть на другом сайте? Правильно, никак...

Пожалуйста, еще версии.
Наверное, версию с ФСБ и с "гугл шпионит" можно тоже отметать сразу))
Надо же как-то этому положить конец.
Изменено: knagty knagty - 2 Октября 2017 13:25
Раз сами писали значит есть недоработки у вас, советую поискать на бирже фрилансеров исполнителя, или на подобных.
Цитата
WGN пишет:
Раз сами писали значит есть недоработки у вас, советую поискать на бирже фрилансеров исполнителя, или на подобных.
Нет. С сайтом уязвимость не связана. Этот скрипт вообще ни к чему - сам по себе. Я его заливаю непосредственно когда нужно поработать над текстами, а потом снова удаляю. Просто откуда-то взломщик узнал адрес (не просто имя файла, а конкретно запрос).Да и что за глупости, если я сам сделал скрипт, почему кто-то вдруг должен лучше меня в нем разбираться? Он простой как валенок, кроме как выводить статьи практически ничего не умеет (как и задумывалось).
knagty knagty, А как у Вас с опцией indexes?
Цитата
knagty knagty пишет:
Да и что за глупости, если я сам сделал скрипт, почему кто-то вдруг должен лучше меня в нем разбираться?
Дело не в этом я хотел сказать , что со стороны бы грамотный чел посмотрел. Может какие погрешности бы увидел.
Как вариант, может быть проблемный хостер, если это так, то взломщик мог попытать удачу и прочесть access_log, а от туда и видны были ваши запросы к админ-файлу, тот же маневр можно использовать через уязвимость на сайте, типо локального инкулуда/чтения файла, как не крути, но даже профи допускают уязвимости в своих скриптах.
Самый простой и очевидный вариант: ранее сайт был взломан и где-то в одном из каталогов (или уже в виде инъекции в php файле) есть хакерская "закладка" (бэкдор) или даже веб-шелл. Через него можно открыть листинг корневого каталога сайта и посмотреть имена файлов. Первое, что нужно сделать - это проверить файлы и каталоги сайта на хакерские шеллы и бэкдоры (например, Ai-BOLIT'ом https://revisium.com/ai/). Если рядом с вашим сайтом есть еще сайты - проверьте их все. Будут вопросы по результатам сканирования - пишите авторам на почту (контакты есть в отчете сканера).  
Цитата
Принципал пишет:
knagty knagty, А как у Вас с опцией indexes?
Интересно, а как она может навредить?Options +Indexes
Это речь об опции в .htaccess? Я сейчас проверил, ее там нет.

Нашел тут https://masterhost.ru/support/doc/apache/
"По умолчанию включена директива Options -Indexes, и в случае отсутствия индексной страницы вы получите HTTP ошибку 403."
То есть, здесь все нормально. Но, даже если бы хакер видел файлы, он бы не знал, какую именно статью нужно открыть. То есть /text481.php, но не /text481.php?id=13084
Цитата
flynstr пишет:
Как вариант, может быть проблемный хостер, если это так, то взломщик мог попытать удачу и прочесть access_log, а от туда и видны были ваши запросы к админ-файлу, тот же маневр можно использовать через уязвимость на сайте, типо локального инкулуда/чтения файла, как не крути, но даже профи допускают уязвимости в своих скриптах.
В хостинге уверен. sweb. Не думаю, что они какие-то лошки =)Но даже если бы зашли на хостинг, заполучив пароль... Все равно, там этого лога нет. Есть только .authfile и .bash_history из "лишних" файлов


Насчет инклюда... У меня всего 1 файл index.html, файл с функциями и файл для ajax запросов, все... Я бы заметил, если было бы что-то лишнее.
Цитата
Григорий пишет:
Самый простой и очевидный вариант: ранее сайт был взломан и где-то в одном из каталогов (или уже в виде инъекции в php файле) есть хакерская "закладка" (бэкдор) или даже веб-шелл. Через него можно открыть листинг корневого каталога сайта и посмотреть имена файлов. Первое, что нужно сделать - это проверить файлы и каталоги сайта на хакерские шеллы и бэкдоры (например, Ai-BOLIT'ом https://revisium.com/ai/). Если рядом с вашим сайтом есть еще сайты - проверьте их все. Будут вопросы по результатам сканирования - пишите авторам на почту (контакты есть в отчете сканера).
Это исключено. Скрипт сайта был создан с чистого листа. Ничего лишнего нет и быть не может. От вордпресса и всего что в нем было ничего не осталось. Хотя... Папка с картинками осталась в неизменном виде, попробую прошерстить ее.
Проверил... Ничего, кроме картинок, нет. А даже если в какой-то картинке есть php код, он не выполнится.
AddType application/x-httpd-php .php .htm .html .phtml
Изменено: knagty knagty - 3 Октября 2017 04:13
Источник компрометации доступов быстро выясняется, если на сайт повесить расширенный мониторинг запросов. Плюс я бы все-таки рекомендовал просканировать свежей версией AI-BOLIT в параноидальном режиме. Мы (revisium.com) обычно такие вопросы достаточно быстро решаем, поскольку есть необходимый инструментарий для диагностики. Насчет "это исключено" - я бы не исключал никаких возможностей. Каких только "чудес" не насмотрелся за 7 лет лечения и защиты сайтов )
А в роботс ее нет? Видел программы которые перебирают около 400 стандартных URL и в слаче возврата 200ой оповещают.

Выход в интернет с дома? Свой роутер? Трафик не снифают?
Цитата
AleXMan74 пишет:
А в роботс ее нет? Видел программы которые перебирают около 400 стандартных URL и в слаче возврата 200ой оповещают.

Выход в интернет с дома? Свой роутер? Трафик не снифают?
В роботс однозначно ничего похожего нет. Если бы и было, то без параметра ?id=ид_статьиИнтернет домашний.
Откуда-то берут ведь. До сих пор такая лажа:
"Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.137 YaBrowser/17.4.1.1026 Yowser/2.5 Safari/537.36:/text43.php?id=1315"
Это точно не я был.
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
09:52 Яндекс выдача. Тема для АПдейтов, которые будут с 16.09 по 23.09.2018 включительно 
08:14 31.08.2018 Апдейт Яндекс ИКС 
07:12 Легкий как небо премиум шаблон Sky для Wordpress от Beewise 
04:32 Что такое Яндекс Икс / Как накрутить Яндекс ИКС 
01:04 Комментирование статей. как пс относятся к главатаркам 
23:07 Поиск Яндекс по рекламе 
19:45 Biggico - крипто партнерская сеть | выплаты в BTC, ETH, фиате, | Revenue Share, CPA, CPL офферы 
10:20 Адаптивная, кроссбраузерная верстка вашего макета. PSD to HTML 
08:47 Трафик по ключевым словам из поисковиков 
08:31 Продажа новых сайтов на Wordpress 
05:39 Безанкорно, анкорно - безанкорно профильный прогон 
01:37 Комплексный качественный прогон по собственной базе от $5. Хрумер 12 Elite 
19:23 Копирайтинг RU/EN, переводы высокого уровня (рус/англ/укр), SEO-оптимизированные тексты под ключ для выхода в Топ (2000+ отзывов) 
18:37 Вечные ссылки с ТОПОВЫХ ресурсов! Размещение вечных трастовых ссылок с тИЦ от + 1000 до +45000 
09:25 Проблемный продавец Invisible007 
08:48 Автоматический сервис продвижения(накрутки). 18 соц сетей! Бонус местным! 
19:17 iphone 
19:14 Лудоманы есть? 
18:50 Плеер hdbaza.com [официальная ветка] 
16:35 Bitcoin cash 
13:06 Нужно сделать копию сайта