Kérdéssel kezdeném. Lehetséges-e hogy egy támadó hozzáférjen valamilyen naplófájlhoz?
Ugyanis az történik, hogy 18.-óta próbálnak rendszeresen belépni admin felhasználó névvel. A limit logint használom és az észlelés után lekorlátoztam a belépési lehetőségeket, ami most 600 perc egy sikertelen bejelentkezés után és két kizárás 36 óra kizárást von maga-után.
Minden kizárás után levelet kapok, így készíteni tudtam egy statisztikát, amiből számomra az derül ki, hogy zombi gépekről kísérletezik. Harminc zombi gépet használ. Ajax bejelentkezésem van, és admin felhasználó már régóta törölve. Mivel úgy gondolom, hogy profi a támadó, biztos vagyok benne, hogy más céllal támad. Az jutott először eszembe, hogy megpróbál arra kényszeríteni, hogy belépjek és így adathoz jut, második gondolatom pedig az, hogy ha hozzá jut valami napló fájlhoz, akkor a kísérletei alapján egy kódfejtővel minden admin adatot meg tud fejteni. Volt egy robotom is, amit a legutóbbi belépésemkor lefényképeztem. Most úgy döntöttem, hogy nem lépek be a felhasználói felületbe, és folytatom a statisztika írását. Naponta a korlátozások következtében 20-30 kísérletet tesz. Az Ip címek megvannak és a kísérletek időpontját is rögzítettem. Valakinek van valami ötlete, hogy mit tegyek?
Esetleg kódold le az admin mappát htaccess-el:
Segítség hozzá:
http://tools.dynamicdrive.com/password/
Köszönöm László!
Majd ezt is kipróbálom, de közben az történt, hogy megemelte a zombi pck számát legalább a duplájára, vagy csak a szolgáltatók váltottak Ip címet, mert az éjjel rengeteg levelem jött. Még nem dolgoztam fel őket, de kértem a szolgáltatót, hogy egy hétre tegye elérhetetlenné az oldalam vagy ajánljon valami jó megoldást, esetleg sávszélesség csökkentés, ha van ilyen. Mindenesetre már ő is tud a problémáról. Az a robot nekem nagyon gyanús, mert google-ben olyan infókat találtam róla amik azt mondják, hogy nincs azonosított tulajdonos, nem tudják, hogy mit csinál, látszólag nem tesz semmit mégis igen gyakran visszatér. Így arra is gondoltam, hogy azért kapom a leveleket, hogy belépjek és esetleg valamilyen módon ő is bejut velem együtt, vagy valami frissítésre akar kényszeríteni, esetleg arra, hogy töltsek le valamilyen plugint.
A másik kérdésem, hogy nincs-e valamilyen hely ahova ha elküldöm az IP címeket és belépési kísérletek időpontját, akkor megtalálják a zombi PC-t és ennek segítségével a támadó nyomába indulnak?
a veled együtt belépés esélyeit csökkenti ha rendes vírusvédelem van a gépeden!
Köszönöm Mano!
Szerintem az renden van. Csak szeretnék rájönni, hogy mi jár a hacker fejében, és szeretném megóvni a honlapot. Egyébként 10 új zombit pakolt be. Ezzel tegnap 0 órától ma 13 45-ig 98 szór kísérletezett.
Bocsánat, nem tegnap o órától. hanem ma 0 órától 98 a kísérlet és még nincs vége a napnak. Egyébként a velem együtt való belépés azért merült fel bennem, mert nem rémlik, hogy az értesítéseket átállítottam volna egyre, legalábbis nem így emlékszem.
Tovább nyomozok, persze rendíthetetlenül jönnek a levelek. A szolgáltatóm azt válaszolta, hogy küldjem el az ip címeket és azokat ki tudja zárni. Elküldtem, de ehhez sok reményt nem fűzök, mert beállít más zombi gépeket, így is úgy csinálja, hogy különböző időzónákból használ zombit. Viszont egy kicsit nézegettem a honlapom és feltűnt, hogy az első behíváskor a böngésző bal sarkában a honlap behívása után még hív be három mást is. Ezt megnéztem más oldalaknál azoknál is így van, csak az más. A Végén arra a következtetésre jutottam, hogy ezeket pluginok okozzák.
Az egyik ilyen hívás az rendbe lehet ez a pts lockerz.com ez egy megosztó lehetőség. Lehet még egy ami rendbe lehet ez a vizitor-maps plugin (bár ebből a szolgáltató eltávolított egy külső hívást, mert ez problémát okozott, ugyanis ez a függvényhívás biztonsági okokból tiltott a szerveren), azt nem tudom, hogy a három behívás közül melyik lehet talán a static.addtoany.com .
De a harmadikkal nem tudok mit kezdeni ez a a2a.lockerz.com nem tudom, hogy kerülhetett oda és mit csinál.
Tud valaki ebben segíteni?
Esetleg tiltsd le az admin mappát, hogy csak a te IP-dről lehessen elérni:
Csinálsz a wp-admin mappába egy .htaccess fájlt és belerakod ezeket:
deny from all
allow from ipcímed
http://whatismyipaddress.com/ Itt tudod megnézni.
Szia,
Szerintem telepítsd fel a better wp security plugint-t, az komoly védelmet ad.
Telepítés után menj fel a kezelő felületére (Dashboard) ott felsorolja, hogy miket kell még beállítani a teljes védelemhez.
Köszönöm András!
Azt tudom, hogy az Ip-m hol tudom megnézni.
A javaslatoddal csak az a gondom, hogy ha ezt megteszem, mivel dinamikus az IPm lehet, hogy legközelebb nem az lesz, és akkor mi történik?
vakondka wrote:
Szia, Szerintem telepítsd fel a better wp security plugint-t, az komoly védelmet ad.
Telepítés után menj fel a kezelő felületére (Dashboard) ott felsorolja, hogy miket kell még beállítani a teljes védelemhez.
Köszönöm Vakondka!
Ezt már néztem és kipróbálta wamp szerveren és az a gondom vele, hogy szerintem túl sok külső hívást okoz és ezt lehet, hogy a szerver nem engedi. Ezt azért gondolom, mert wampon letiltottam az internet hozzáférést akkor nem engedett tovább, csak ha ismét bekapcsoltam akkor tudtam újra továbblépni a Dasboard menüi között.
Köszönöm András! Azt tudom, hogy az Ip-m hol tudom megnézni. A javaslatoddal csak az a gondom, hogy ha ezt megteszem, mivel dinamikus az IPm lehet, hogy legközelebb nem az lesz, és akkor mi történik?
Szia,
Nem kell félni a külső hívásoktól, telepítsd fel bátran ezt a bővítményt, mert komoly védelmet csak ezzel tudsz elérni.
Nincs többi olyan hogy weblapodod.hu/wp-admin és admin nevű user sem, ez a kettő már önmagában megállítja legtöbb támadást,
de a többi védelem ami a pluginban van szintén nagyon jó!
Üdv:Laci
Köszönöm Laci!
Mint már írtam ezt végig tanulmányoztam és sejtem a lehetőségeket. A gondom vele már csak az, hogy mint fentebb írtam a szolgáltató szervere tilt valamilyen függvényhívást ezt le is írta levélben, hogy melyiket, (majd megkeresem). Azt honnan fogom megtudni, hogy ebben a pluginban szerepel-e, ez a függvényhívás.
Persze azelőtt is gondot okozott nekik egy másik plugin (ami miatt ez kiderült) és kijavították a plugint és helyrehozták az oldalt, mert valami letiltott miatta. Aztán elfelejtettem és egy fél év után frissítettem a plugint, majd újra hibát okozott. Ekkor megkértek, hogy sűrűn ne csináljak ilyet.
Viszont levettem ftpn keresztül és megnéztem, hogyan javították ki, és megtaláltam egy törölt sort. Ha legközelebb esetleg kell ezt én is megtudom tenni ennél, de egy újnál már nem.
.htaccess védelem az admin mappára
deny from all
allow from 111.111 (saját ip tartományod)
vagy
deny from all
allow from .hu (.hu tartomány elfogadása)
Ez a .hu-s jó ötlet!
En azt mondanam neked hogy 1 probalkozas utan az IP-t tilsd le!
Egyebkent ajanlom figyelmedbe:
http://wordpress.org/extend/plugins/better-wp-security/
http://wordpress.org/extend/plugins/bulletproof-security/
ezen 2 plugin egyuttes hasznalatat ajanlom … mind2 nagyon sokat hozza tesz pl a htaccesshez is !!!
en ugy szoktam hogy eloszor a bulletproofot allitom be … utanna kikapcsolom es a better allitom be … a better bekapcsolva hagyom mert van fajl valtozas figyeloje is!
Irtad hogy a betterrel gond volt … ha tudsz kuldeni egy beallitasi screenshotot akkor megmondom hogy mit allitottal be rosszul mert van 2 kapcsolo is ami tul sok hivast okoz ! … en is bele buktam mar a multisite -nal mar nem tudom hasznalni
egyebkent amit meg tudsz tenni es egyszeru az egy google rechapta … es hidd el mind2 security plugin mukodik csak nem szabad mindent bekapcsolni es addig kell kapcsolgatni a dolgokat amig nem mukodik minden sajnom minden serveren mast es mast lehet csak :(((
Köszönöm Andrea!
Ez nekem is tetszik. Már megírtam a fájlt, de előbb szeretném kipróbálni wamp szerveren. Vajon ott is működik?
egg wrote:
En azt mondanam neked hogy 1 probalkozas utan az IP-t tilsd le!
Köszönöm egg!
Az elején írtam, hogy egy próbálkozás után ki van tiltva 10 órára. Chapta is van, de ezt a támadót nem az érdekli, hogy bejusson, hanem más a célja és ehhez a kapta még jól is jön.
egg wrote:
Irtad hogy a betterrel gond volt
Félre értetted, nem az volt a gondom vele, hogy nem tudtam beállítani a wampon, hanem az hogy a beállítási lehetőségek csak akkor lehetségesek, ha van hálózati kapcsolat is, ami külső hívásokra utal.
A szerverre még nem telepítettem.
Andrea és András!
Kipróbáltam wampon. Működik csak az a gondom vele, hogy ha ajaxal, jelentkezem be, akkor beléptet, csak az admin felületbe nem enged be. Ebből pedig arra következtetek, hogy ugyanúgy kísérletezgethet tovább. Ha megfejti a kódolást, és van információs naplófájlja, akkor már azt csinál amit akar, csak egy magyar zombi gép kell és be tud lépni.
Egészítsd ki a htaccesst.
# QUERY STRING EXPLOITS
RewriteCond %{QUERY_STRING} …/ [NC,OR]
RewriteCond %{QUERY_STRING} boot.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag= [NC,OR]
RewriteCond %{QUERY_STRING} ftp: [NC,OR]
RewriteCond %{QUERY_STRING} http: [NC,OR]
RewriteCond %{QUERY_STRING} https: [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig [NC,OR]
RewriteCond %{QUERY_STRING} ^.([|]|(|)||’|"|;|?|).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.(%22|%27|%3C|%3E|%5C|%7B|%7C). [NC,OR]
RewriteCond %{QUERY_STRING} ^.(%0|%A|%B|%C|%D|%E|%F|127.0). [NC,OR]
RewriteCond %{QUERY_STRING} ^.(globals|encode|config|localhost|loopback). [NC,OR]
RewriteCond %{QUERY_STRING} ^.(request|select|insert|union|
declare
|drop). [NC]
RewriteRule ^(.*)$ - [F,L]
Hogy ne csináljon azt, amit akar, még ha esetleg be is tud lépni…