Откуда хакеры берут адрес админки?
Страницы: 1
Откуда хакеры берут адрес админки?
В общем, веду журнал страниц, которые запрашивают на сайте и которых не существует в виде "юзер-агент:запрос".Вижу сегодня следующее:
Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0; Touch; ASU2JS):/text481.php?id=13084

text481.php - это моя самодельная админка. 481 - это число, которое я меняю, чтобы невозможно было открыть случайно подобрав имя файла админки. После работы файл админки удаляется, поэтому и возникает ошибка.
id - это ид статьи. Сами статьи идут не по порядку (их всего 800, а ид аж 13084). Отсюда вывод - хакеры где-то берут конкретный адрес, который я запрашивал через браузер.
Это уже не первый случай, такой было и раньше, поэтому стал менять 481. Перебора не делают, а сразу попадают точно в цель!
Где берут? Ваши версии.
Изменено: knagty knagty - 2 Октября 2017 12:52

Прогон по твиттеру, постинг в 1500 аккунтов
Постинг в твиттер аккаунты, для ускорения индексации ваших сайтов, сателлитов, дорвеев.

Цитата
knagty knagty пишет:
...
Где берут? Ваши версии.

Вирус у вас на компе, вирус на вашем сайте и ещё могу предположить, что кто-то читает ваши куки при посещении кокого либо сайта злоумышленника.
Надежный VIP хостинг от beget!
Как создать современный интернет-магазин с ноля, интересная тема.
Цитата
Diman_TS пишет:
Цитата
knagty knagty пишет:
...
Где берут? Ваши версии.

Вирус у вас на компе, вирус на вашем сайте и ещё могу предположить, что кто-то читает ваши куки при посещении кокого либо сайта злоумышленника.
Вирус не может быть причиной, у меня mac os. Крайне маловероятно.   Вируса на сайте нет и быть не может - писал сам лично с нуля собственный скрипт, как только купил его (стоял вордпресс).
Какие куки? Я их на своем сайте вообще не использую, а если бы и использовал, то как их прочесть на другом сайте? Правильно, никак...

Пожалуйста, еще версии.
Наверное, версию с ФСБ и с "гугл шпионит" можно тоже отметать сразу))
Надо же как-то этому положить конец.
Изменено: knagty knagty - 2 Октября 2017 13:25
Раз сами писали значит есть недоработки у вас, советую поискать на бирже фрилансеров исполнителя, или на подобных.
Цитата
WGN пишет:
Раз сами писали значит есть недоработки у вас, советую поискать на бирже фрилансеров исполнителя, или на подобных.
Нет. С сайтом уязвимость не связана. Этот скрипт вообще ни к чему - сам по себе. Я его заливаю непосредственно когда нужно поработать над текстами, а потом снова удаляю. Просто откуда-то взломщик узнал адрес (не просто имя файла, а конкретно запрос).Да и что за глупости, если я сам сделал скрипт, почему кто-то вдруг должен лучше меня в нем разбираться? Он простой как валенок, кроме как выводить статьи практически ничего не умеет (как и задумывалось).
knagty knagty, А как у Вас с опцией indexes?
Цитата
knagty knagty пишет:
Да и что за глупости, если я сам сделал скрипт, почему кто-то вдруг должен лучше меня в нем разбираться?
Дело не в этом я хотел сказать , что со стороны бы грамотный чел посмотрел. Может какие погрешности бы увидел.
Как вариант, может быть проблемный хостер, если это так, то взломщик мог попытать удачу и прочесть access_log, а от туда и видны были ваши запросы к админ-файлу, тот же маневр можно использовать через уязвимость на сайте, типо локального инкулуда/чтения файла, как не крути, но даже профи допускают уязвимости в своих скриптах.
Самый простой и очевидный вариант: ранее сайт был взломан и где-то в одном из каталогов (или уже в виде инъекции в php файле) есть хакерская "закладка" (бэкдор) или даже веб-шелл. Через него можно открыть листинг корневого каталога сайта и посмотреть имена файлов. Первое, что нужно сделать - это проверить файлы и каталоги сайта на хакерские шеллы и бэкдоры (например, Ai-BOLIT'ом https://revisium.com/ai/). Если рядом с вашим сайтом есть еще сайты - проверьте их все. Будут вопросы по результатам сканирования - пишите авторам на почту (контакты есть в отчете сканера).  
Цитата
Принципал пишет:
knagty knagty, А как у Вас с опцией indexes?
Интересно, а как она может навредить?Options +Indexes
Это речь об опции в .htaccess? Я сейчас проверил, ее там нет.

Нашел тут https://masterhost.ru/support/doc/apache/
"По умолчанию включена директива Options -Indexes, и в случае отсутствия индексной страницы вы получите HTTP ошибку 403."
То есть, здесь все нормально. Но, даже если бы хакер видел файлы, он бы не знал, какую именно статью нужно открыть. То есть /text481.php, но не /text481.php?id=13084
Цитата
flynstr пишет:
Как вариант, может быть проблемный хостер, если это так, то взломщик мог попытать удачу и прочесть access_log, а от туда и видны были ваши запросы к админ-файлу, тот же маневр можно использовать через уязвимость на сайте, типо локального инкулуда/чтения файла, как не крути, но даже профи допускают уязвимости в своих скриптах.
В хостинге уверен. sweb. Не думаю, что они какие-то лошки =)Но даже если бы зашли на хостинг, заполучив пароль... Все равно, там этого лога нет. Есть только .authfile и .bash_history из "лишних" файлов


Насчет инклюда... У меня всего 1 файл index.html, файл с функциями и файл для ajax запросов, все... Я бы заметил, если было бы что-то лишнее.
Цитата
Григорий пишет:
Самый простой и очевидный вариант: ранее сайт был взломан и где-то в одном из каталогов (или уже в виде инъекции в php файле) есть хакерская "закладка" (бэкдор) или даже веб-шелл. Через него можно открыть листинг корневого каталога сайта и посмотреть имена файлов. Первое, что нужно сделать - это проверить файлы и каталоги сайта на хакерские шеллы и бэкдоры (например, Ai-BOLIT'ом https://revisium.com/ai/). Если рядом с вашим сайтом есть еще сайты - проверьте их все. Будут вопросы по результатам сканирования - пишите авторам на почту (контакты есть в отчете сканера).
Это исключено. Скрипт сайта был создан с чистого листа. Ничего лишнего нет и быть не может. От вордпресса и всего что в нем было ничего не осталось. Хотя... Папка с картинками осталась в неизменном виде, попробую прошерстить ее.
Проверил... Ничего, кроме картинок, нет. А даже если в какой-то картинке есть php код, он не выполнится.
AddType application/x-httpd-php .php .htm .html .phtml
Изменено: knagty knagty - 3 Октября 2017 04:13
Источник компрометации доступов быстро выясняется, если на сайт повесить расширенный мониторинг запросов. Плюс я бы все-таки рекомендовал просканировать свежей версией AI-BOLIT в параноидальном режиме. Мы (revisium.com) обычно такие вопросы достаточно быстро решаем, поскольку есть необходимый инструментарий для диагностики. Насчет "это исключено" - я бы не исключал никаких возможностей. Каких только "чудес" не насмотрелся за 7 лет лечения и защиты сайтов )
Страницы: 1
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
21:32 Апдейт ТИЦ 15 августа 2017 
21:25 18 октября 2017 
21:22 нужен грамотный юрист\адвокат по вопросу авторских прав, индексации. 
18:53 Profitco - гемблинговая ПП! Проверенные бренды, парк-домены, выплаты каждую неделю, геолокация по ip 
17:55 Сайт то появляется в выдаче, то выпадает. 
17:25 Запись данных + отправка на почту 
16:24 TeaserNet - тизерная сеть нового поколения! Высокие доходы, стабильные выплаты 
21:35 Комплексное продвижение + Внутренняя оптимизация сайтов + Контекстная реклама 
20:30 Прогон по профилям 300 рублей, 170 сайтов, ТИЦ от 10 
19:08 Копирайтинг, Рерайтинг, СЕО - от 80/1000 
17:30 Продам сайт кино траф 26к 
17:20 Продаю игровой сайт! 10000 трафика 
15:59 Тексты премиум - качества! Доступные условия для бизнеса и удар по поисковым алгоритмам! 
15:55 Вкусные тексты от профессионального копирайтера 
19:57 Обучение английскому языку бартером на обучение продвижению сайтов 
18:51 Есть ли у вас самый самый любимый сайт, который вы создали не для дохода 
18:05 Заработок на спортивном сайте 
17:14 Местного Шерлока больше не будет! 
17:01 Интересно интересно 
15:47 Как максимум выжить траф (нужен совет или партнерки) 
09:17 Хацкеры с телдери ?