WordPress – Firewall Block Alert

Ahoj, poslední dobou se mě zřejmě snaží někdo nabourat na stránku Konkrétně třeba toto: Shield zablokoval připojení návštěvníka

Detaily přihlášení tohoto návštěvníka jsou níže:

- IP Adresa: 143.255.129.98

- Parametr stránky neprošel kontrolou ve firewallu. Problém byl nalezen u parametru "albumid", který měl hodnotu "../../configuration.php".

- Trigger firewallu: Procházení adresářů.

Shield zablokoval připojení návštěvníka

Detaily přihlášení tohoto návštěvníka jsou níže:

- IP Adresa: 185.234.219.225

- Trigger firewallu: Nahrání EXE souborů.

Shield zablokoval připojení návštěvníka

Detaily přihlášení tohoto návštěvníka jsou níže:

- IP Adresa: 178.62.123.214

- Parametr stránky neprošel kontrolou ve firewallu. Problém byl nalezen u parametru "file", který měl hodnotu "../wp-config.php".

- Trigger firewallu: Procházení adresářů. O co přesně jde?

tohle dnes již dělají roboti a je těžké najít web, u které se to neděje. Pokud jsi na multihostingu, již částečně chráněný, že musí robot znát tvoji doménu, na vps jsou weby takhle bombardovány okamžitě.Dříve se to nedělo? Nenainstaloval jsi si ochranu teprve nedávno?

Ne ochranu mám od začátku. Ale .. možná jsem si toho dřív nevšímal :)Mám VPS

přišlo by mi divné, kdyby tě boti objevili až teď, ale je to možné.Tuhle práci dnes již nedělá člověk, robot buď udělá rovnou průnik nebo připraví půdu. V hooodně vyjímečných případech to je cílené, ale zpravidla se jede na množství, nabourané weby se pak prodávají a zájemci si je kupují stejně jako se kupují reklamní plochy, pak si tam mohou dělat co chtějí. Součástí průniků bývá i okopírování databáze a její další využití. Nesnaží se být moc nápadní, web pak používají k další aktivitě.Tipů jak to zabezpečit je dost, ale občas se objeví velká zranitelnost, trvá i jednotky hodin než má web napaden, což je problém. Pokud to sleduješ, sleduj to k nadále, dávej pozor na nečekané chování webu, na své straně máš google a on také sleduje, jestli web nemáš napadený, dá ti vědět a je vhodné to neprodleně řešit.

takže jde o roboty?já jen že "Nahrání EXE souborů." není podle mě robot :)

Nahrání exe souboru je třeba zrovna součástí OWASP penetračních testů. Běžná praktika. Bez logů a jejich analýzy (frekvence pokusů, typy pokusů, zdrojové IP adresy atd.) nelze jednoznačně říct. Toho robota musí někdo nakonfigurovat, předat mu url, ale drtivá většina pokusů se dělá hromadně a bez ruční asistence, prostě to běží a hledá a hledá kde by to kam nahrálo škodlivé soubory a získalo přístup.Občas to pokročilejší návštěvník zkouší, zpravidla ale z české (obecně z lokální) IP adresy, moc se neschovává a chce si jen ověřit formálně zranitelnosti.K tomuhle je dobré schovávat access log z http serveru (či proxy) a zaznamenávat jednotlivé pokusy, poté podle jejich podobnosti, četnosti atd. může odvozovat jestli to běžný automatizovaný útok nebo to je trochu více jiné a individuální, pokud máš data z více stránek, je to mnohem lepší k porovnávání.Dnes je drtivá většina webů pod podobnými útoky, vidím to v logách, všechny otevřené služby jsou pernamentně bonbardovány vším možným. Poslední dobou čím dál častěji z počítačů běžných návštěvníků, aby zdrojová IP adresa nevypadala tak podezřele, to jsou třeba pak ti lidé, kteří tvrdí, že "nic na počítači nemají, takže nepotřebují antiviry".Sleduj to pravidelně, pokud se tam objeví další a další věci, klidně to sem hoď. Ukládej si access logy, pak ti mohu říct více a ne jen bezhlavě tipovat. Dnes ale potkat schopného crackera na webu je problém, je jich málo :).

TomášXdíky :), to je teda rozbor. No on to shild blokne po 5ti pokusech. Nastavil jsem mu to tak. Včera jsem mu dal 3 pokusy a blokovat. Mám v něm zakázány i změny v PHP, wordpress a podobné věci, takže se zas tak moc nebojím, jen jsem se podivoval co se to děje.zkoušel jsem i vyhledat IP a našlo ji v USA/NY/parkoviště :)