- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Что делать, если ваша email-рассылка попала в спам
10 распространенных причин и решений
Екатерина Ткаченко
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день.
Последние недели две-три наблюдаю нездоровую активность по логам.
Всяких сканеров на уязвимость каждый день много, это понятно.
Сначала думал что это обыкновенные сканеры. Зашел, просканировал, ушёл.
Не обращал внимания пока этих запросов не стало очень много, хоть IP повторяются, но их очень много, поэтому блокировка по IP результата не даст.
Я не понимаю зачем это делается и главное это специально именно на меня нагоняют или у кого то еще наблюдается?
Тем более я не вижу вреда от таких запросов, разве что забить канал?
Запросы:
"GET /phpmyadmin/ HTTP/1.1"
"GET /phpmyadmin//index.php HTTP/1.1"
Сейчас им отдается 403, раньше было открыто все.
Но даже когда все было открыто, то сканер после такого запроса начинал перебор логин/пароль.
А тут только запрос и все.
Вопрос: меня "заказали"? или у кого еще наблюдается подобное?
И чем это мне может навредить?
Защититься я так понимаю невозможно учитывая очень большое количество IP с разных зон.
Как вариант стать за Cloudflare и разрешить только IP целевой аудитории, но это можно сделать и средствами iptables.
Likvik, Смените адрес phpmyadmin и работайте дальше, скорее всего это кривой сканер попался, кому надо тот будет создавать нагрузку непосредственно на сайт.
Likvik, Смените адрес phpmyadmin и работайте дальше, скорее всего это кривой сканер попался, кому надо тот будет создавать нагрузку непосредственно на сайт.
Вот тут и нюанс так сказать. Этот запрос именно на сайт, вернее сайты. Три из многих.
phpmyadmin там никогда и не было, phpmyadmin привязан к IP сервера, туда сканеры и долблятся периодически.
Повторюсь, тут еще одна странность, когда все было открыто, то сканер приступал к бруту, а здесь нет, просто эти два запроса и все, дальше следующий IP делает такие же запросы. Доступ я закрыл недавно, это ничего не поменяло, хотя впринципе и не должно было. Это скорее защита от брута.
---------- Добавлено 26.01.2019 в 14:39 ----------
Часть лога:
Как видно запрос именно к сайту, а там никогда не было phpmyadmin
Вопрос: меня "заказали"? или у кого еще наблюдается подобное?
У некоторых хостеров можно так открывать ПМА. Т.е. домен/phpmyadmin, домен/myadmin и тп.
Возможно кулцхакеры просто идут широкой гребёнкой.
Likvik, такое в интернете постоянно происходит, ищут уязвимости в компонентах, подбирают пароли. Это автоматические сканеры, боты.
вас, очевидно, заказали.
шантажируют, чтобы вы поставили phpmyadmin, иначе это никогда не прекратится!
на следующем шаге вам будут предлагать поставить известный им пароль.
и так, пока не доберутся до базы.
новейшая технология социального-реверс-брутфорсинга.
Likvik, такое в интернете постоянно происходит, ищут уязвимости в компонентах, подбирают пароли. Это автоматические сканеры, боты.
Согласен. Постоянно наблюдаю сканеры разные.
Но что я заметил, сканер сканирует много чего, а не только один фактически запрос.
И IP сканеров не повторяются, по крайней мере за день, а тут что повторы и опять тот же запрос.
---------- Добавлено 26.01.2019 в 15:06 ----------
Bot Inspector, Сарказм. Спасибо, оценил.
---------- Добавлено 26.01.2019 в 16:09 ----------
Оптимизайка, BotGuard это отфильтрует?
Likvik, Вам не нужен антибот для этого, просто заблокируйте адрес /phpmyadmin/* в .htaccess или nginx.
Тоже смотрел что антибот немного не для этого. У меня связка Nginx и PHP-FPM. Доступ заблокирован. Но боты ломятся всеровно.
Всетаки склоняюсь к тому что комуто понадобилось мне навредить забивая канал. Все указывает на то что это не сканеры. И мощность нарастает...
BotGuard это отфильтрует?
Да, это одна из его функций. Но если прям "мощность", то это уже DOS атака, а он для этого не предназначен.
Likvik, В nginx отдавайте код 444 для снижения нагрузки на канал.
А если уж забьют канал, то вам поможет только cloudflare.com или любой другой внешний Firewall.