Перейти к публикации
proFox

Атака на DLE. Один ли я такой?

Рекомендованные сообщения

proFox

Здравствуйте!

 

На скриптерсе есть одна темка, где речь идёт об атаках на WP и Joomla.

 

В той теме в посту приведён список IP адресов, с которых идёт атака. ТС говорит, что с данных IP идёт подборка и у DLE. Я решил проверить и убедился, что действительно идёт подборка. Притом очень жёсткая! У меня за сегодня страниц 7 с неудачными попытками авторизации! А сейчас только день, брут продолжается. Притом я проверил логи, и продолжается это уже не первый день.

post-4032-0-23287900-1375961467_thumb.png

 

В общем предлагаем методы защиты от всего этого в этой теме.

 

Авторизация производится не из Админ-центра, а с сайта.

Изменено пользователем proFox

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
RaperXXX

Сделайте так и забудите о атаке.
в .htaccess после RewriteEngine On

<Files "файл вашей админки.php">
order deny,allow
Deny from all
Allow from ip 1, ip 2, ip 3 (тут надо указать свой ip и ip других пользователей имеющие полномочия администратора)
</files>

Если будет попытка входа в админку "сайт.ру/файл вашей админки.php" не с тех ip которые вы указали будет просто напросто ошибка 403 "Доступ запрещен"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
qpPeW

Сделайте так и забудите о атаке.

в .htaccess после RewriteEngine On

<Files "файл вашей админки.php">
order deny,allow
Deny from all
Allow from ip 1, ip 2, ip 3 (тут надо указать свой ip и ip других пользователей имеющие полномочия администратора)
</files>

Если будет попытка входа в админку "сайт.ру/файл вашей админки.php" не с тех ip которые вы указали будет просто напросто ошибка 403 "Доступ запрещен"

перечень IP должен быть без запятых...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
RaperXXX

 

Авторизация производится не из Админ-центра, а с сайта.

Упс не прочитал. Хотя с другой стороны в дле стоит ограничение на количество входов, если это делать через сайт, но с другой стороны даже если взломают админка будет в безопасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
proFox

@RaperXXX, раз в 3 минуты идёт авторизация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
qpPeW

Авторизация производится не из Админ-центра, а с сайта.

ниже все правильно было написано !

 

// если у тебя нормальный хостер, то он давно уже сделал ограничение (если не сделал, то вали с такого хостинга который не следит за происходящим)...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
RaperXXX

@proFox, так если достигнуть максимальное количество неудачных попытак авторизоваться, то аккаунт блокируется на 20 минут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
proFox

@RaperXXX, согласен, но бана этого почему-то нету...

 

Добавил один из IP в фильтры DLE и брут не прекратился. Продолжаются попытки авторизации. Щас заблочу IP на уровне .htaccess

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
ToRN

А изменить название файла админпанели?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
proFox

@ToRN, авторизация идёт с сайта. Название файла итак уже раза 3 сменил - ничего не даёт. Только то, что прописал RaperXXX добавил к админ-файлу. И заблочил тот IP:

<Limit GET POST>
 order allow,deny
 deny from 193.105.154.245
 allow from all
</Limit>

Как заблочил всё утихло. Посмотрю, что будет дальше.

Изменено пользователем proFox

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
DotNet

Тут фигня, смотри в сторону конкурентов. Никто не брутил бы по твоему логину.

Были бы какие-то стандартные логины.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
proFox

@DotNet, IP совпал с тем, что в теме на скриптерсе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
kr_minsk

как вариант,можно удалять admin.php если он не нужен,а когда понадобится загружать на сервер

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
ToRN

@kr_minsk,
Тс мне уже ответил по поводу того, что подборка с сайта идёт.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
DotNet

@DotNet, IP совпал с тем, что в теме на скриптерсе.

Смотри лучше инфу на серче, чем на скрипке :)))

И там, на сколько мне известно, брутил - "ботнет", а не 1 ип 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
kaktyc

Таааак, у меня такая же фигня fw5j.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Nack

У меня всё в порядке пока, видимо начали админки DLE ломать, после WP и Joomla... Вроде, по сравнению с WP, DLE более уязвима к взлому. Немного погодя, кодеры или разработчики придумают что-нибудь))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
proFox

@Nack, если быть точнее, никто не ломает админки. Я писал, да и на скрине кактуса видно, что идёт подбор пароля к нужному логину с сайта. Каждые 3 минуты и скрипт не банит данный IP, так как судя по всему интервал слишком большой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
qpPeW

как вариант,можно удалять admin.php если он не нужен,а когда понадобится загружать на сервер

ахахаха )))))

кулл хацкер

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
TheAndrey

Тоже долбился. Перекрыл доступ со всей подсети (смотрим whois) :zloi:

filtered.log

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...