Откуда хакеры берут адрес админки?

Сообщений: 477 Регистрация: Авг 2011

2 Октября 2017 12:52

В общем, веду журнал страниц, которые запрашивают на сайте и которых не существует в виде "юзер-агент:запрос".Вижу сегодня следующее:
Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0; Touch; ASU2JS):/text481.php?id=13084

text481.php - это моя самодельная админка. 481 - это число, которое я меняю, чтобы невозможно было открыть случайно подобрав имя файла админки. После работы файл админки удаляется, поэтому и возникает ошибка.
id - это ид статьи. Сами статьи идут не по порядку (их всего 800, а ид аж 13084). Отсюда вывод - хакеры где-то берут конкретный адрес, который я запрашивал через браузер.
Это уже не первый случай, такой было и раньше, поэтому стал менять 481. Перебора не делают, а сразу попадают точно в цель!
Где берут? Ваши версии.

Изменено: knagty knagty - 2 Октября 2017 12:52

Diman_TS

Сообщений: 909 Регистрация: Окт 2012

2 Октября 2017 13:11

Цитата
knagty knagty пишет: ... Где берут? Ваши версии.

Вирус у вас на компе, вирус на вашем сайте и ещё могу предположить, что кто-то читает ваши куки при посещении кокого либо сайта злоумышленника.

Рекомендую хостинг и VPN в Европе от 56р.
Рекомендую хостинг в России от 220р.
Мой Сайт-Блог Климов Дмитрий .

knagty knagty

Сообщений: 477 Регистрация: Авг 2011

2 Октября 2017 13:24

Цитата

Diman_TS пишет:

Цитата
knagty knagty пишет: ... Где берут? Ваши версии.

Вирус не может быть причиной, у меня mac os. Крайне маловероятно. Вируса на сайте нет и быть не может - писал сам лично с нуля собственный скрипт, как только купил его (стоял вордпресс).
Какие куки? Я их на своем сайте вообще не использую, а если бы и использовал, то как их прочесть на другом сайте? Правильно, никак...

Пожалуйста, еще версии.
Наверное, версию с ФСБ и с "гугл шпионит" можно тоже отметать сразу))
Надо же как-то этому положить конец.

Изменено: knagty knagty - 2 Октября 2017 13:25

WGN

Сообщений: 9891 Регистрация: Июн 2015

2 Октября 2017 14:28

Раз сами писали значит есть недоработки у вас, советую поискать на бирже фрилансеров исполнителя, или на подобных.

✔(НЕЙРОСЕТЬ) Качественные живые посетители на ваш сайт, блог, канал — Бесплатно!!!

♛ЛУЧШИЙ ПРОВЕРЕННЫЙ и САМЫЙ НЕДОРОГОЙ ХОСТИНГ: АКЦИИ!

knagty knagty

Сообщений: 477 Регистрация: Авг 2011

2 Октября 2017 15:06

Цитата
WGN пишет: Раз сами писали значит есть недоработки у вас, советую поискать на бирже фрилансеров исполнителя, или на подобных.

Нет. С сайтом уязвимость не связана. Этот скрипт вообще ни к чему - сам по себе. Я его заливаю непосредственно когда нужно поработать над текстами, а потом снова удаляю. Просто откуда-то взломщик узнал адрес (не просто имя файла, а конкретно запрос).Да и что за глупости, если я сам сделал скрипт, почему кто-то вдруг должен лучше меня в нем разбираться? Он простой как валенок, кроме как выводить статьи практически ничего не умеет (как и задумывалось).

Принципал

Сообщений: 1305 Регистрация: Июл 2012

2 Октября 2017 15:08

knagty knagty, А как у Вас с опцией indexes?

WGN

Сообщений: 9891 Регистрация: Июн 2015

2 Октября 2017 16:00

Цитата
knagty knagty пишет: Да и что за глупости, если я сам сделал скрипт, почему кто-то вдруг должен лучше меня в нем разбираться?

Дело не в этом я хотел сказать , что со стороны бы грамотный чел посмотрел. Может какие погрешности бы увидел.

flynstr

Сообщений: 211 Регистрация: Июн 2014

2 Октября 2017 21:21

Как вариант, может быть проблемный хостер, если это так, то взломщик мог попытать удачу и прочесть access_log, а от туда и видны были ваши запросы к админ-файлу, тот же маневр можно использовать через уязвимость на сайте, типо локального инкулуда/чтения файла, как не крути, но даже профи допускают уязвимости в своих скриптах.

Лечение сайта / сайтов с вирусами

Мониторинг обменных пунктов WebMoney по выгодным условиям

Григорий

Сообщений: 14 Регистрация: Сен 2014

2 Октября 2017 21:53

Самый простой и очевидный вариант: ранее сайт был взломан и где-то в одном из каталогов (или уже в виде инъекции в php файле) есть хакерская "закладка" (бэкдор) или даже веб-шелл. Через него можно открыть листинг корневого каталога сайта и посмотреть имена файлов. Первое, что нужно сделать - это проверить файлы и каталоги сайта на хакерские шеллы и бэкдоры (например, Ai-BOLIT'ом https://revisium.com/ai/). Если рядом с вашим сайтом есть еще сайты - проверьте их все. Будут вопросы по результатам сканирования - пишите авторам на почту (контакты есть в отчете сканера).

knagty knagty

Сообщений: 477 Регистрация: Авг 2011

#10

3 Октября 2017 03:48

Цитата
Принципал пишет: knagty knagty, А как у Вас с опцией indexes?

Интересно, а как она может навредить?Options +Indexes
Это речь об опции в .htaccess? Я сейчас проверил, ее там нет.

Нашел тут https://masterhost.ru/support/doc/apache/
"По умолчанию включена директива Options -Indexes, и в случае отсутствия индексной страницы вы получите HTTP ошибку 403."
То есть, здесь все нормально. Но, даже если бы хакер видел файлы, он бы не знал, какую именно статью нужно открыть. То есть /text481.php, но не /text481.php?id=13084

knagty knagty

Сообщений: 477 Регистрация: Авг 2011

#11

3 Октября 2017 03:58

Цитата

flynstr пишет:
Как вариант, может быть проблемный хостер, если это так, то взломщик мог попытать удачу и прочесть access_log, а от туда и видны были ваши запросы к админ-файлу, тот же маневр можно использовать через уязвимость на сайте, типо локального инкулуда/чтения файла, как не крути, но даже профи допускают уязвимости в своих скриптах.

В хостинге уверен. sweb. Не думаю, что они какие-то лошки =)Но даже если бы зашли на хостинг, заполучив пароль... Все равно, там этого лога нет. Есть только .authfile и .bash_history из "лишних" файлов

Насчет инклюда... У меня всего 1 файл index.html, файл с функциями и файл для ajax запросов, все... Я бы заметил, если было бы что-то лишнее.

knagty knagty

Сообщений: 477 Регистрация: Авг 2011

#12

3 Октября 2017 04:02

Цитата

Григорий пишет:
Самый простой и очевидный вариант: ранее сайт был взломан и где-то в одном из каталогов (или уже в виде инъекции в php файле) есть хакерская "закладка" (бэкдор) или даже веб-шелл. Через него можно открыть листинг корневого каталога сайта и посмотреть имена файлов. Первое, что нужно сделать - это проверить файлы и каталоги сайта на хакерские шеллы и бэкдоры (например, Ai-BOLIT'ом https://revisium.com/ai/). Если рядом с вашим сайтом есть еще сайты - проверьте их все. Будут вопросы по результатам сканирования - пишите авторам на почту (контакты есть в отчете сканера).

Это исключено. Скрипт сайта был создан с чистого листа. Ничего лишнего нет и быть не может. От вордпресса и всего что в нем было ничего не осталось. Хотя... Папка с картинками осталась в неизменном виде, попробую прошерстить ее.
Проверил... Ничего, кроме картинок, нет. А даже если в какой-то картинке есть php код, он не выполнится.
AddType application/x-httpd-php .php .htm .html .phtml

Изменено: knagty knagty - 3 Октября 2017 04:13

Григорий

Сообщений: 14 Регистрация: Сен 2014

#13

3 Октября 2017 17:32

Источник компрометации доступов быстро выясняется, если на сайт повесить расширенный мониторинг запросов. Плюс я бы все-таки рекомендовал просканировать свежей версией AI-BOLIT в параноидальном режиме. Мы (revisium.com) обычно такие вопросы достаточно быстро решаем, поскольку есть необходимый инструментарий для диагностики. Насчет "это исключено" - я бы не исключал никаких возможностей. Каких только "чудес" не насмотрелся за 7 лет лечения и защиты сайтов )

AleXMan74

Сообщений: 22 Регистрация: Сен 2010

#14

11 Ноября 2017 16:52

А в роботс ее нет? Видел программы которые перебирают около 400 стандартных URL и в слаче возврата 200ой оповещают.

Выход в интернет с дома? Свой роутер? Трафик не снифают?

knagty knagty

Сообщений: 477 Регистрация: Авг 2011

#15

11 Ноября 2017 18:40

Цитата
AleXMan74 пишет: А в роботс ее нет? Видел программы которые перебирают около 400 стандартных URL и в слаче возврата 200ой оповещают. Выход в интернет с дома? Свой роутер? Трафик не снифают?

В роботс однозначно ничего похожего нет. Если бы и было, то без параметра ?id=ид_статьиИнтернет домашний.
Откуда-то берут ведь. До сих пор такая лажа:
"Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.137 YaBrowser/17.4.1.1026 Yowser/2.5 Safari/537.36:/text43.php?id=1315"
Это точно не я был.

Похожие темы:

04.12.2013 12:11

Очень много переходов на сайт из америки. Откуда они появились?

Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)

Новые темы	Объявления	Свободное общение
16:55 Яндекс прекращает поддержку технологии Турбо 16:44 «Хлебные крошки» в адресе сайтов исчезнут из результатов поиска Google 16:38 ру гембла 10:59 DreamCash.tl - заработок на онлайн-видео. До 95% отчислений, отличный конверт! 09:06 Бесплатные посещения 01:10 Adsense личный опыт 22:07 Помогите найти шаблон	04:14 Просто $0.04/IP 9PROXY.COM Резидентные прокси Неограниченная пропускная способность Уникальная политика замены Без чёрного списка 21:36 Coin Click.cc - Быстрый и надежный обмен электронных валют в два клика 20:25 TrueMeds - Революционная Фарма Партнерка! Увеличь свой профит в x2 раза вместе с нами! 19:14 Анализ курсов и недежности обменников - Kurs.Expert 18:02 Новый обменный сервис «Money-office» 16:31 Качественные услуги по телеграм (инвайт, рассылка)(Invite, mailing list) 15:46 CoinCapital	03:08 Точные прогнозы на футбол 00:55 С юмором по жизни! 10:05 Китайский ИИ-ассистент DeepSeek начали запрещать в некоторых странах 21:05 Telegram не смог провести различие между требованиями автократических режимов и законными демократическими запросами 08:12 Ням-ням! - 8 деликатесов, которые когда-то ели только бедные люди 07:48 США готовят закон для уничтожения пиратских сайтов во всех странах мира 02:10 [Новая партнерка] Goldbet Partners — прямой рекламодатель одноименного казино Goldbet