Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Недохакер ломится на форум. Как над ним поглумится?
Правила форума
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ).
Местная Конституция | Шаблон запроса | Документация (phpBB3) | Переход на 3.0.6 и выше | FAQ | Как задавать вопросы | Как устанавливать расширения
Ваш вопрос может быть удален без объяснения причин, если на него есть ответы по приведённым ссылкам (а вы рискуете получить предупреждение ).
Недохакер ломится на форум. Как над ним поглумится?
Собственно сабж... Какой-то полудурок пытается залить эксплойт, переборы портов, попытка найти там adminer-4.7.1-mysql.php как наказать недоумка? Причем лезет с одного и того же IP, поэтому собственно и недоумок.
-
- phpBB 2.0.4
- Сообщения: 440
- Стаж: 6 лет 8 месяцев
- Благодарил (а): 100 раз
- Поблагодарили: 30 раз
Re: Недохакер ломится на форум. Как над ним поглумится?
Может у него вирус? Может забыть, у моего хостинга есть AWStats, так по отчётам получается пару процентов такого трафика.
Re: Недохакер ломится на форум. Как над ним поглумится?
вирус, который adminer'а запускает? Чето больно умный вирус
Перенесено из форума Поддержка phpBB 3.3.x в форум phpBB-пространство 27.06.2020 20:22 модератором rxu
-
- phpBB 3.3.0
- Сообщения: 11239
- Стаж: 14 лет 3 месяца
- Откуда: fotovideoforum.ru
- Благодарил (а): 673 раза
- Поблагодарили: 121 раз
Re: Недохакер ломится на форум. Как над ним поглумится?
Вирусы щас умные.
Отправлено спустя 31 секунду:
Особливо если с одного и того же ипишки стучатся.
Отправлено спустя 31 секунду:
Особливо если с одного и того же ипишки стучатся.
NIKON-D90, AF-S 18-105, AF-S 14-24, AF-S 24-70
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
Фотовидеофорум ; Форум Кировского района ; Форумы Калдина-Клуба ; Форум Japan Navigation Group
-
- phpBB Guru
- Сообщения: 16367
- Стаж: 17 лет 11 месяцев
- Откуда: Красноярск
- Благодарил (а): 521 раз
- Поблагодарили: 1744 раза
Re: Недохакер ломится на форум. Как над ним поглумится?
Я бы создал данный файл там, где он его ищет, и залил бы туда какой нибудь эксплойт. Чтобы ему винт отформатировало, например. В крайнем случае, просто какое-нибудь предупреждение от КГБ с его айпишником и просьбой никуда не уезжать из города
Re: Недохакер ломится на форум. Как над ним поглумится?
С эксплойтами развлекаться не хочу, хостер может не понять.
Решение простое как топор, при попытке зайти с IP недохацкера, он прочтет о себе много нового и оскорбительного, причем сразу на 2х языках. Ip-шник то американский.
Решение простое как топор, при попытке зайти с IP недохацкера, он прочтет о себе много нового и оскорбительного, причем сразу на 2х языках. Ip-шник то американский.
-
- Former team member
- Сообщения: 933
- Стаж: 17 лет 2 месяца
- Откуда: BeBoss.ru
- Благодарил (а): 2 раза
- Поблагодарили: 10 раз
Re: Недохакер ломится на форум. Как над ним поглумится?
Скорее всего это не недохакер, а обычная программа, сканирующая сайт на все известные существующие уязвимости, такая как например Acunetix
У меня есть скрипт, который по User-agent и по данным, которые передаются в post/get параметрах, определяет такие автоматические сканеры и автоматически их банит.
Вот паттерны для проверки:
За годы использования от реальных пользователей жалоб не было, а нагрузка от таких автоматических систем поиска уязвимостей - существенно снизилась.
Изначально я также вручную вычислял айпишники и просто в nginx для них добавлял правило rewrite на страницу 404.
Потом надоело, потому что с ростом популярности и известности сайта количество людей, натравливающих на него такие условные акунетиксы, начинает расти очень сильно. Сейчас в автоматическом режиме у меня блокируется 10-30 разных сканеров каждый день, по правилам которые я выложил.
У меня есть скрипт, который по User-agent и по данным, которые передаются в post/get параметрах, определяет такие автоматические сканеры и автоматически их банит.
Вот паттерны для проверки:
Код: Выделить всё
$this->patterns['user-agent'] = array(
"/^Java.*/s",
"/^Jakarta.*/s",
"/.*User-Agent.*/s",
"/.*compatible ;*/s",
"/^Mozilla$/s",
"/^libwww$/s",
"/^lwp-trivial$/s",
"/^curl$/s",
"/scrapy\.org/s",
"/^PHP\/$/s",
"/^GT::WWW$/s",
"/Snoopy/s",
"/commoncrawl\.org/s",
"/MFC_Tear_Sample/s",
"/HTTP::Lite/s",
"/PHPCrawl/s",
"/ZmEu/s",
"/URI::Fetch/s",
"/Zend_Http_Client/s",
"/http client/s",
"/PECL::HTTP/s",
"/panscient.com/s",
"/IBM EVV/s",
"/Bork-edition/s",
"/Fetch API Request/s",
"/[A-Z][a-z]{3,} [a-z]{4,} [a-z]{4,}/s",
"/WEP Search/s",
"/Wells Search II/s",
"/Missigua Locator/s",
"/ISC Systems iRc Search 2.1/s",
"/Microsoft URL Control/s",
"/Indy Library/s",
"/select pg_sleep/s",
"/.*Python.*aiohttp.*/s",
"/waitfor delay/s",
"/now\(\)=sysdate\(\)/s",
);
$this->patterns['request'] = array(
"/^555-666-0606$/is" => 10,
"/^sample@email.tst$/is" => 10,
"/netsparker/is" => 10,
"/phpMyAdmin/is" => 10,
"/select pg_sleep/is" => 10,
"/waitfor delay/is" => 10,
"/document\.cookie/is" => 10,
"/now\(\)=sysdate\(\)/is" => 10,
"/select\(sleep\(/is" => 10,
"/select sleep\(/is" => 10,
"/cast\(\(select/is" => 10,
"/cast\(\(select/is" => 10,
"/select dbms_pipe\.receive_message/is" => 10,
"/\.\.\/etc\/passwd/is" => 10,
"/\.\.\/windows\/win\.ini/is" => 10,
"/WEB\-INF\/web\.xml/is" => 10,
"/acu:Expre\/\*\*\/SSion/is" => 10,
"/onmouseover%3dprompt/is" => 10,
"/Copy%20(.*)of(.*)\.php/is" => 10,
"/Copy_(.*)of(.*)\.php/is" => 10,
"/SomeCustomInjectedHeader\:injected_by_wvs/is" => 10,
"/SomeCustomInjectedHeader\:injected_by_wvs/is" => 10,
);
Изначально я также вручную вычислял айпишники и просто в nginx для них добавлял правило rewrite на страницу 404.
Потом надоело, потому что с ростом популярности и известности сайта количество людей, натравливающих на него такие условные акунетиксы, начинает расти очень сильно. Сейчас в автоматическом режиме у меня блокируется 10-30 разных сканеров каждый день, по правилам которые я выложил.
-
- Former team member
- Сообщения: 933
- Стаж: 17 лет 2 месяца
- Откуда: BeBoss.ru
- Благодарил (а): 2 раза
- Поблагодарили: 10 раз
Re: Недохакер ломится на форум. Как над ним поглумится?
https://github.com/iskander-g/scaner-de ... tector.php
Вот выложил целиком класс, без двух функций - которая пишет логи и которая их читает. Эти функции уже сами у себя сделаете, по ситуации.
Советую их класть в какое-то очень быстрое хранилище, потому что нужно каждый заход каждого пользователя по ним проверять.
У меня для этого используется таблица типа MEMORY в MySQL. В неё просто кладу всех забанненых пользователей в writeToLogs, а в checkIsBanned проверяю, есть ли для данного user_id в течение последних 15 минут запись. Если есть то новую страницу ему соответственно тоже не отдаю.
Класс подключается и вызывается на странице самым первым, сразу же после инициализации подключения к базе данных. Вместо базы данных по сути можно использовать redis, memcache или любое другое быстрое хранилище, просто сохранять там запить по user_id что он забанен.
Важно чтобы хранилище поддерживало быстрый поиск наличия в нем забанненого пользователя по этому ключу. Memcached для этого наверное идеально подойдет, когда баните пользователя - пишите туда запить с ключом типа banned_{user_id} и сроком жизни 15 минут, и потом проверяете есть такая запись или нет, если нет значит не забанен, если есть то продлеваете ей время жизни еще на 15 минут просто.
Вот выложил целиком класс, без двух функций - которая пишет логи и которая их читает. Эти функции уже сами у себя сделаете, по ситуации.
Советую их класть в какое-то очень быстрое хранилище, потому что нужно каждый заход каждого пользователя по ним проверять.
У меня для этого используется таблица типа MEMORY в MySQL. В неё просто кладу всех забанненых пользователей в writeToLogs, а в checkIsBanned проверяю, есть ли для данного user_id в течение последних 15 минут запись. Если есть то новую страницу ему соответственно тоже не отдаю.
Класс подключается и вызывается на странице самым первым, сразу же после инициализации подключения к базе данных. Вместо базы данных по сути можно использовать redis, memcache или любое другое быстрое хранилище, просто сохранять там запить по user_id что он забанен.
Важно чтобы хранилище поддерживало быстрый поиск наличия в нем забанненого пользователя по этому ключу. Memcached для этого наверное идеально подойдет, когда баните пользователя - пишите туда запить с ключом типа banned_{user_id} и сроком жизни 15 минут, и потом проверяете есть такая запись или нет, если нет значит не забанен, если есть то продлеваете ей время жизни еще на 15 минут просто.
Re: Недохакер ломится на форум. Как над ним поглумится?
Целенаправленно в корень форума лезет, хз, программа или чел.
Нагрузку не дает, лимиты большие, я б и не заметил, если бы не решил посмотреть error.log
Re: Недохакер ломится на форум. Как над ним поглумится?
Сегодня недохацкер начал искать файл xmlrpc.php Дебил думает, что там WordPress
Сделал перенаправление на сайт ФБР (IP ж то американский), количество попыток чето уменьшилось
Сделал перенаправление на сайт ФБР (IP ж то американский), количество попыток чето уменьшилось
-
- Поддержка
- Сообщения: 5283
- Стаж: 19 лет 3 месяца
- Откуда: Питер
- Благодарил (а): 186 раз
- Поблагодарили: 793 раза
Re: Недохакер ломится на форум. Как над ним поглумится?
Чересчур много внимания к сканирующей программе, которая тупо перебирает всё по словарю
Еще одно нарушение правил и будете забанены. © Mr. Anderson
Ты очистил кеш? © Sheer
https://siava.ru (phpbb2.0.x 3.5.x)
Ты очистил кеш? © Sheer
https://siava.ru (phpbb
Re: Недохакер ломится на форум. Как над ним поглумится?
Для меня это новый опыт, интересно
Я по прежнему не уверен, что это программа, попытки происходят примерно раз в 10 - 15 минут, один IP
Что бы что-то результативно поломать, покупают прокси и логи были бы мегабайтные.
Так что все еще верю в недохакера
-
- phpBB 2.0.4
- Сообщения: 440
- Стаж: 6 лет 8 месяцев
- Благодарил (а): 100 раз
- Поблагодарили: 30 раз
Re: Недохакер ломится на форум. Как над ним поглумится?
Ну удалённые рабочие столы так и подбирают, есть список IP, по одной попытке, доходят до конца списка, и снова. Так и быстрее и палишься меньше. Берут не качеством, а количеством. Или на вашем форуме что то есть такое чего нет у других?
У меня вот другой случай был, форум небольшой внешних ссылок (где то 40 сайтов 400 ссылок сейчас), в какой то момент как взлетел показатель стало 400 вешних сайтов, причём домены абра кадабра, переходишь и домена нет. И потом всё разово исчезло (неработающие ссылки), и ИКС просел в два раза, может из за этого а может нет. И что это было? В конкурентов как то слабо верится.