Недохакер ломится на форум. Как над ним поглумится?

[MasterX]

Собственно сабж... Какой-то полудурок пытается залить эксплойт, переборы портов, попытка найти там adminer-4.7.1-mysql.php как наказать недоумка? Причем лезет с одного и того же IP, поэтому собственно и недоумок.

[ciiz1]

Может у него вирус? Может забыть, у моего хостинга есть AWStats, так по отчётам получается пару процентов такого трафика.

[MasterX]

вирус, который adminer'а запускает? Чето больно умный вирус

[Пчелкин]

Вирусы щас умные.

Отправлено спустя 31 секунду:
Особливо если с одного и того же ипишки стучатся.

[rxu]

как наказать недоумка?

Я бы создал данный файл там, где он его ищет, и залил бы туда какой нибудь эксплойт. Чтобы ему винт отформатировало, например. В крайнем случае, просто какое-нибудь предупреждение от КГБ с его айпишником и просьбой никуда не уезжать из города

[MasterX]

С эксплойтами развлекаться не хочу, хостер может не понять.
Решение простое как топор, при попытке зайти с IP недохацкера, он прочтет о себе много нового и оскорбительного, причем сразу на 2х языках. Ip-шник то американский.

[RedNaxi]

Скорее всего это не недохакер, а обычная программа, сканирующая сайт на все известные существующие уязвимости, такая как например Acunetix

У меня есть скрипт, который по User-agent и по данным, которые передаются в post/get параметрах, определяет такие автоматические сканеры и автоматически их банит.

Вот паттерны для проверки:

Код: Выделить всё

          $this->patterns['user-agent'] = array(
                                           "/^Java.*/s",
                                           "/^Jakarta.*/s",
                                           "/.*User-Agent.*/s",
                                           "/.*compatible ;*/s",
                                           "/^Mozilla$/s",
                                           "/^libwww$/s",
                                           "/^lwp-trivial$/s",
                                           "/^curl$/s",
                                           "/scrapy\.org/s",
                                           "/^PHP\/$/s",
                                           "/^GT::WWW$/s",
                                           "/Snoopy/s",
                                           "/commoncrawl\.org/s",
                                           "/MFC_Tear_Sample/s",
                                           "/HTTP::Lite/s",
                                           "/PHPCrawl/s",
                                           "/ZmEu/s",
                                           "/URI::Fetch/s",
                                           "/Zend_Http_Client/s",
                                           "/http client/s",
                                           "/PECL::HTTP/s",
                                           "/panscient.com/s",
                                           "/IBM EVV/s",
                                           "/Bork-edition/s",
                                           "/Fetch API Request/s",
                                           "/[A-Z][a-z]{3,} [a-z]{4,} [a-z]{4,}/s",
                                           "/WEP Search/s",
                                           "/Wells Search II/s",
                                           "/Missigua Locator/s",
                                           "/ISC Systems iRc Search 2.1/s",
                                           "/Microsoft URL Control/s",
                                           "/Indy Library/s",
                                           "/select pg_sleep/s",
                                           "/.*Python.*aiohttp.*/s",
                                           "/waitfor delay/s",
                                           "/now\(\)=sysdate\(\)/s",
                                            );
                                            
          $this->patterns['request'] = array(
                                           "/^555-666-0606$/is" => 10,
                                           "/^sample@email.tst$/is" => 10,
                                           "/netsparker/is" => 10,
                                           "/phpMyAdmin/is" => 10,
                                           "/select pg_sleep/is" => 10,
                                           "/waitfor delay/is" => 10,
                                           "/document\.cookie/is" => 10,
                                           "/now\(\)=sysdate\(\)/is" => 10,
                                           "/select\(sleep\(/is" => 10,
                                           "/select sleep\(/is" => 10,
                                           "/cast\(\(select/is" => 10,
                                           "/cast\(\(select/is" => 10,
                                           "/select dbms_pipe\.receive_message/is" => 10,
                                           "/\.\.\/etc\/passwd/is" => 10,
                                           "/\.\.\/windows\/win\.ini/is" => 10,
                                           "/WEB\-INF\/web\.xml/is" => 10,
                                           "/acu:Expre\/\*\*\/SSion/is" => 10,
                                           "/onmouseover%3dprompt/is" => 10,
                                           "/Copy%20(.*)of(.*)\.php/is" => 10,
                                           "/Copy_(.*)of(.*)\.php/is" => 10,
                                           "/SomeCustomInjectedHeader\:injected_by_wvs/is" => 10,
                                           "/SomeCustomInjectedHeader\:injected_by_wvs/is" => 10,
                                            );

За годы использования от реальных пользователей жалоб не было, а нагрузка от таких автоматических систем поиска уязвимостей - существенно снизилась.

Изначально я также вручную вычислял айпишники и просто в nginx для них добавлял правило rewrite на страницу 404.
Потом надоело, потому что с ростом популярности и известности сайта количество людей, натравливающих на него такие условные акунетиксы, начинает расти очень сильно. Сейчас в автоматическом режиме у меня блокируется 10-30 разных сканеров каждый день, по правилам которые я выложил.

[Vlad__]

У меня есть скрипт

Не поделитесь? Заранее спасибо!

[RedNaxi]

https://github.com/iskander-g/scaner-de ... tector.php

Вот выложил целиком класс, без двух функций - которая пишет логи и которая их читает. Эти функции уже сами у себя сделаете, по ситуации.
Советую их класть в какое-то очень быстрое хранилище, потому что нужно каждый заход каждого пользователя по ним проверять.

У меня для этого используется таблица типа MEMORY в MySQL. В неё просто кладу всех забанненых пользователей в writeToLogs, а в checkIsBanned проверяю, есть ли для данного user_id в течение последних 15 минут запись. Если есть то новую страницу ему соответственно тоже не отдаю.

Класс подключается и вызывается на странице самым первым, сразу же после инициализации подключения к базе данных. Вместо базы данных по сути можно использовать redis, memcache или любое другое быстрое хранилище, просто сохранять там запить по user_id что он забанен.

Важно чтобы хранилище поддерживало быстрый поиск наличия в нем забанненого пользователя по этому ключу. Memcached для этого наверное идеально подойдет, когда баните пользователя - пишите туда запить с ключом типа banned_{user_id} и сроком жизни 15 минут, и потом проверяете есть такая запись или нет, если нет значит не забанен, если есть то продлеваете ей время жизни еще на 15 минут просто.

[MasterX]

Скорее всего это не недохакер, а обычная программа, сканирующая сайт на все известные существующие уязвимости

Целенаправленно в корень форума лезет, хз, программа или чел.
Нагрузку не дает, лимиты большие, я б и не заметил, если бы не решил посмотреть error.log

[MasterX]

Сегодня недохацкер начал искать файл xmlrpc.php Дебил думает, что там WordPress
Сделал перенаправление на сайт ФБР (IP ж то американский), количество попыток чето уменьшилось

[Siava]

Чересчур много внимания к сканирующей программе, которая тупо перебирает всё по словарю

[MasterX]

Чересчур много внимания к сканирующей программе, которая тупо перебирает всё по словарю

Для меня это новый опыт, интересно
Я по прежнему не уверен, что это программа, попытки происходят примерно раз в 10 - 15 минут, один IP
Что бы что-то результативно поломать, покупают прокси и логи были бы мегабайтные.
Так что все еще верю в недохакера

[ciiz1]

Я по прежнему не уверен, что это программа, попытки происходят примерно раз в 10 - 15 минут

Ну удалённые рабочие столы так и подбирают, есть список IP, по одной попытке, доходят до конца списка, и снова. Так и быстрее и палишься меньше. Берут не качеством, а количеством. Или на вашем форуме что то есть такое чего нет у других?
У меня вот другой случай был, форум небольшой внешних ссылок (где то 40 сайтов 400 ссылок сейчас), в какой то момент как взлетел показатель стало 400 вешних сайтов, причём домены абра кадабра, переходишь и домена нет. И потом всё разово исчезло (неработающие ссылки), и ИКС просел в два раза, может из за этого а может нет. И что это было? В конкурентов как то слабо верится.