Форум Сайтостроение Администрирование серверов

Ищут дырки на серваке

AG
На сайте с 24.04.2007
Offline
115
AlexGM
1538

Сегодня в логах своего VPS нашел такую штуку:

74.117.235.231 - - [28/Sep/2011:10:11:18 +0400] "GET //phpmyadmin/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:18 +0400] "GET //phpMyAdmin/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:19 +0400] "GET //admin/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:19 +0400] "GET //dbadmin/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:19 +0400] "GET //myadmin/ HTTP/1.1" 200 8001 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:20 +0400] "GET //mysql/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:20 +0400] "GET //mysqladmin/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:20 +0400] "GET //phpadmin/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:21 +0400] "GET //pma/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:21 +0400] "GET //phpdb/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:21 +0400] "GET //db/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:22 +0400] "GET //mysqladmin/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:22 +0400] "GET //SQL/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:22 +0400] "GET //padmin/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:23 +0400] "GET //pmadmin/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"
74.117.235.231 - - [28/Sep/2011:10:11:23 +0400] "GET //webdb/ HTTP/1.1" 404 188 "-" "Made by ZmEu @ WhiteHat Team - www.whitehat.ro"

Погуглил, говорят хакеры ищут дырки phpMyAdmin. Все бы ничего, но жирным выделено, что нашли они, где стоит мой phpMyAdmin.

Я с этими VPS не дружу, но должен же быть в ISP Manager какой-то инструмент чтобы забанить IP.

Вроде не тупой, просмотрел всё меню, но найти его не могу. И в хелпе искал, тоже не нашел.

Подскажите, где эта функция?

И если есть что-то действеннее, чем бан IP, то тоже не откажусь от совета :)

Stolz
На сайте с 25.01.2007
Offline
181
Stolz
#1

IP отфильтровываются в файрволе

DV
На сайте с 01.05.2010
Offline
644
DenisVS
#2

AlexGM, да этот Змеу у меня на всех сайтах что-то ищет, с разных IP, ну и фиг с ним, всё равно через веб у меня ничего не доступно, т.к. бэк-энд сервера открыт только для определённых IP. Можете средствами веб-сервера банить по юзерагенту, только это дополнительные тормоза.

А, ну если у вас phpmyadmin доступен отовсюду, сделайте директории какое-нибудь нестандартное имя вроде jkhghdryfjbuihf57tghcgujghuyr7tfc

---добавил

и авторизацию .htpasswd

VDS хостинг ( http://clck.ru/0u97l ) Нет нерешаемых задач ( https://searchengines.guru/ru/forum/806725 ) | Перенос сайтов на Drupal 7 с любых CMS. ( https://searchengines.guru/ru/forum/531842/page6#comment_10504844 )
В Google Photos можно ВКонтакте запустила сервис «Товары» REG.RU запустил сервис «История
izbushka
На сайте с 08.06.2007
Offline
110
izbushka
#3
Stolz:
IP отфильтровываются в файрволе

Очень удобно для этого пользоваться fail2ban

Вот прям ваш случай описан

teolog
На сайте с 21.05.2005
Offline
103
teolog
#4

Самое простое и быстрое решение - спрячте phpMyAdmin. Чтобы страница была не myadmin, а что-то типа 143myadmin346s. В конфиге апача вместо Alias /myadmin нужно прописать Alias /143myadmin346s.

AG
На сайте с 24.04.2007
Offline
115
AlexGM
#5
teolog:
Самое простое и быстрое решение - спрячте phpMyAdmin. Чтобы страница была не myadmin, а что-то типа 143myadmin346s. В конфиге апача вместо Alias /myadmin нужно прописать Alias /143myadmin346s.

Спасибо, так и сделал.

Rimlyanin
На сайте с 22.02.2006
Offline
200
Rimlyanin
#6
AlexGM:
Спасибо, так и сделал.

И добавьте туда вот это:

DenisVS:

и авторизацию .htpasswd
Nanotik
На сайте с 20.11.2010
Offline
27
Nanotik
#7
AlexGM:
Я с этими VPS не дружу, но должен же быть в ISP Manager какой-то инструмент чтобы забанить IP.

Есть такой пункт: "Инструменты"->"Брандмауэр (firewall)".

А вот и дока.

S
На сайте с 28.10.2005
Offline
312
semenov
#8

Сканируют постоянно и всех, и не живые люди это делают, банить по IP бессмысленно

Cuck
На сайте с 02.06.2011
Offline
110
Cuck
#9
teolog:
Самое простое и быстрое решение - спрячте phpMyAdmin. Чтобы страница была не myadmin, а что-то типа 143myadmin346s. В конфиге апача вместо Alias /myadmin нужно прописать Alias /143myadmin346s.

отличная идея спасибо.

B
На сайте с 21.12.2009
Offline
28
boodda
#10

просто удалить скрипт /scripts/setup.php или поставьте права 0000 на него.

Адский Кодер Разработка и аудит безопасности сайтов/скриптов(PHP+MySQL) (/ru/forum/530575)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий