Закладки на сайте, непонятные активности, что проверять и что делать
-
Возникла непонятная активность, внешне выглядит как попытка доступа к страницам которых нет, сегодня заблокировали за спам рассылки (плагин присылает инфу о проблемах), что тут нужно делать, все плагины с официального сайта.
По теме безопасности стоят:
iThemes Security
Jetpack от WordPress.com
Wordfence Securityстоял 4.7, сейчас обновил до 4.8
Иллюстрации/скриншоты
-
https://sitecheck.sucuri.net
https://vms.drweb.ru/online/
https://virustotal.com
ничего не видят — как быть?
заранее огромное спасибоphp файл безобидный, вредоносного кода в нем нет
кроме того вы сами можете сравнить его с дистрибутивным
https://plugins.trac.wordpress.org/browser/jetpack/tags/5.1/_inc/jetpack-strings.php
сканеру не понравилось наличие слова «botnets»по остальным вашим картинкам пока ничего сказать нельзя,
404 иногда боты тыкают достаточно странные ссылки (при ошибках разбора кода ботом)Большое(даже огромное) спасибо, думал над ситуацией и анализировал.
Вопрос принципиальный один:
У меня это внутренняя проблема (какая-то закладка) или внешняя (идет что-то из вне, какая-то атака)?Я склоняюсь к тому что все таки из вне это идет, как это можно проверить (окончательно подтвердить).
И как защититься, как настроить защитные плагины?
третий вариант что как-то нарушилась структура сайта, какая-то несовместимость и все эти проблемы (404 ошибки) генерят обычные пользователи, но на это не похоже.
Заранее мегаспасибо всем, очень бы хотелось решить вопрос.
- Ответ изменён 7 лет, 6 месяцев назад пользователем rulims.
выглядит все вот так:
———
Bummer! You have one more 404
IP Address 195.91.243.97
404 Path /wp-content/plugins/jetpack/css/%22https:/fonts.googleapis.com/css?family=Open+Sans%22/
User Agent Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit/603.1.30 (KHTML, like Gecko) Version/10.1 Safari/603.1.30
——-
Bummer! You have one more 404
IP Address 188.16.128.41
404 Path /wp-content/plugins/jetpack/css/%22https:/fonts.googleapis.com/css?family=Open+Sans%22/
User Agent Mozilla/5.0 (Linux; Android 6.0.1; SM-A520F Build/MMB29K) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.125 Mobile Safari/537.36
——-
Bummer! You have one more 404
IP Address 91.203.170.245
404 Path /wp-content/plugins/jetpack/css/%22https:/fonts.googleapis.com/css?family=Open+Sans%22/
User Agent Mozilla/5.0 (Linux; Android 5.1.1; SM-G531H Build/LMY48B) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.132 Mobile Safari/537.36
——-
Bummer! You have one more 404
IP Address 95.28.176.125
404 Path /wp-content/plugins/jetpack/css/%22https:/wordpress.com/i/noticons/Noticons.woff%22/
User Agent Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3)тем то наделали, можно я удалю все эти дубли ? 😀
view-source:http://rulims.ru/wp-content/plugins/jetpack/css/jetpack.css?ver=5.1
ссылки я так понимаю идут отсюда
это вполне правильный CSS файл, все мои сайты отдают точно такой жеПросто если URL получается для запроса вот такого вида
/wp-content/plugins/jetpack/css/%22https:/wordpress.com/i/noticons/Noticons.woff%22/
, то это явно ошибка разбора CSS на стороне клиента, скорее всего клиент даже не пытается разобрать это как CSS, а тупо пытается скачать все найденные ссылки … рекурсивно.
Вывод: данные клиенты скорее всего являются ботами или программами для рекурсивного скачивания контента сайтаНу и конечно же вы лично накрутили настройки плагина «безопасности» , что он у вас на каждый чих выдает по письму. В современных реалиях WWW доля паразитного трафика может превышать долю трафика от людей, реагировать на это нужно соответственно, без лишней паники
PS: посмотрела логи на одном из своих сайтов с Jetpack
тоже есть такие запросы, user-agent-ы все достаточно старых браузеров, хотя по поведению (совокупность запросов) я бы не сказала на 100% что это боты
Просто похоже не все браузеры воспринимают url:src на удаленные сервера в директиве @font-face и интерпретируют ссылку как локальную, относительную- Ответ изменён 7 лет, 6 месяцев назад пользователем Yui.
сегодня заблокировали за спам рассылки (плагин присылает инфу о проблемах)
делать нужно:
1. не паниковать
2. отключить подобные отчеты. 1 тык = 1 письмо
у вас есть лог доступа ( access_log ) если интересны 404 — в лог и смотрите
или каким то иным образом оформляйте отчеты о 404-ых
Таких ошибок может быть и 100 и 1000 в сутки, и больше
получать на каждую по письму — явно перебор.большое спасибо
1. сайт просто слишком тяжело дался и не хочу проблем/чтобы пропало/было заблокировано
2. компетенции как все происходит в инете есть (очень давно с инетом знаком, плюс понимаю информационную безопасность), но сам вручную настраивать ничего не могу и программировать тоже (это полностью мой первый сайт)
2. 404 переопределил чтобы видеть подобные проблемы, до этого случая иногда бывают проблема — но с конкретного IP, я его закрываю и все Ok
3. что это действие ботов я понимаю, что разные исходящие IP это нормально
ну и они определенный перегруз дают. сейчас уже 20 месяцев и только такое возникло.
4, есть чувство что результат какого то апдейта это
5.перегруз вообще от ботов или от емаилов которые генерились?
6. «PS: посмотрела логи на одном из своих сайтов с Jetpack
тоже есть такие запросы, user-agent-ы все достаточно старых браузеров, хотя по поведению (совокупность запросов) я бы не сказала на 100% что это боты»
то есть может генерят подобное обычные пользователи?и может мне поставит исключение банально на 404
/wp-content/plugins/jetpack/
или /wp-content/plugins/jetpack/css/?сейчас исключения
/wp-content/themes/wp-macchiato/assets/fonts/fontawesome-webfont.woff2?v=4.3.0
/not_foundлучше вообще отключить отчеты по почте на 404 ошибку
придет бот, сканировать допустим на уязвимости, и сгенерирует вам пару десятков тысяч отчетов, если его сразу не забанитьhttps://wordpress.org/support/topic/jetpack-css-404-error-in-site-statistics/
можете еще эту тему глянуть, и тут https://github.com/Automattic/jetpack/issues/7435
если коротко — несовместимость обещали исправить в следующем релизе Jetpackи как можно понять боты это или нет
и почему все таки с разных адресов?
———
и правильно я понял что это на внутреннию проблему не похоже?- Ответ изменён 7 лет, 6 месяцев назад пользователем rulims.
если бы посмотрели темы по ссылкам выше
это привнесли в jetpack 5.1
некоторым (старым? не всем) браузерам похоже не нравится ссылка в @font-face src:url
(комбинация единичных и двойных кавычек)
что вызывает 404 или у некоторых 301 на удаленном сайте, вместо шрифта
похоже что это не боты, хотя бывает и ситуация когда боты тупо тыкаются по всему что похоже на ссылку, но тут это баг в jetpackспасибо за ссылку, все понятно, я на jetpack и думал, чувствую в нем подвох, больно сложный он
5.перегруз вообще от ботов или от емаилов которые генерились?
email
- Тема «Закладки на сайте, непонятные активности, что проверять и что делать» закрыта для новых ответов.