Что за попытка взлома ?

12
suffix
На сайте с 26.08.2010
Offline
259
1134

Добрый день.

Несознательные элементы (по IP гуглящиеся как редиски) долбятся безуспешно (попадают в error.log) зачем-то в технические папки сайта где разумеется index.php нет:


AH01276: Cannot serve directory /var/www/babai/data/www/www.babai.ru/bitrix/js/: No matching DirectoryIndex (index.php) found, and server-generated directory index forbidden by Options directive

Конечно я их fail2ban-ом блокирую, но мне просто интересно для общего развития а что это за метод атаки ?

Клуб любителей хрюш (https://www.babai.ru)
Jet D.
На сайте с 08.12.2008
Offline
400
#1

suffix, причин может быть бесконечное количество. Есть какие-то поведенческие особенности у этих ботов/сканеров?

Домены от $0.59! (https://regway.com) 500+ доменных зон, 20+ способов оплаты и 10 лет стабильной работы Регистрация и продление доменов .RU и .РФ от 150 ₽! (/ru/forum/377815) Доступен реселлинг и API!
suffix
На сайте с 26.08.2010
Offline
259
#2
Jet D.:
причин может быть бесконечное количество.

Мне не причины интересны а тактика такого взлома

Jet D.:
Есть какие-то поведенческие особенности у этих ботов/сканеров?

Особо нет - раз в час с 5 IP в одну папку делают запрос - он разумеется не проходит, через час в другую папку и попадают в бан. Далее по циклу :)

IL
На сайте с 20.04.2007
Offline
412
#3
suffix:
Конечно я их fail2ban-ом блокирую, но мне просто интересно для общего развития а что это за метод атаки ?

Просто "обходят" категории.. Вдруг где автоиндекс включен или index.php без пароля что интересное выдаст.. или страницу авторизации покажет.

foxi
На сайте с 02.03.2011
Online
875
#4

suffix, но правило хорошего тона - класть в папки файлы index.html никто не отменял. И небыло бы таких записей в логах.

А вообще таких переборщиков уязвимостей полно.

Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
suffix
На сайте с 26.08.2010
Offline
259
#5
foxi:
suffix, но правило хорошего тона - класть в папки файлы index.html никто не отменял.

Зачем ? Хулиганы получают 403 forbidden меня это устраивает.

---------- Добавлено 17.04.2020 в 18:18 ----------

ivan-lev:
Просто "обходят" категории..

Тю, я думал что-то хитрое ...

Спасибо за информацию !

S
На сайте с 20.03.2020
Offline
16
#6

Автоматом сканируют в поиске наличия туда доступа. У вас там нчиего нет, у других может что-то быть. Но по сути это безобидный заход на сайт. Я на такие даже внимания не обращаю.

Хостинг от 119р в месяц | VPS от 170р в месяц |Быстрая поддержка (https://fas.st/Ha9Wc)
suffix
На сайте с 26.08.2010
Offline
259
#7
Semiure:
У вас там нчиего нет.

Да, нет - файлы там лежат - это же стандартные директории Битрикса. Доступа туда у злодеев нет конечно.

foxi
На сайте с 02.03.2011
Online
875
#8
suffix:
Зачем ? Хулиганы получают 403 forbidden меня это устраивает.
!

на морду директории и гугл может пойти. у него есть такая мода, если видит пути типа /image/xxx.jpg то может на /image/ сходить в хз каких целях.

SocFishing
На сайте с 26.09.2013
Offline
118
#9

Для скана даже 403 результат, так как понятно, что есть такая директория и есть Options All -Indexes. Вариант прокинуть ErrorDocument 403 /notfound сослаться на кастомную страницу notfound или на страницу, которая будет добавлять в бан IP.

Как-то давно тестировал у товарища безопасность друпала. Раньше вебсервера не имели дефолтных Options All -Indexes. Мне удалось в ручном режиме перебрать типовые директории module/cache и найти листинг компилированных версий страниц. Дальше дело техники, перебор файлов. И о чудо, каким-то образом в некоторых файлах мелькали запросы к mysql с содержимым конфига.

Но ты опять скажешь, что я все я вру. Товарищ

★Сервис идентифицирует (https://socfishing.com/?utm_source=searchengines) посетителей вашего сайта и предоставляет их профили ВКонтакте, Телефон, Почта! Цены копеечные, работаем 8 лет.
foxi
На сайте с 02.03.2011
Online
875
#10
SocFishing:
в некоторых файлах мелькали запросы к mysql с содержимым конфига.

🤣 выводить в браузер пароли доступа к mysql это на каждом втором сайте прям, PDO это по дефолту в браузер выводит со всеми подробностями, структурой базы и т.п. отладку, при невозможности коннекта к базе.

Недавно даже на сайте https://www.paystree.com/ красовалась отладка со всеми паролями. Экономия на программистах до добра не доводит.

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий