Ar1ur
Ответы в темах
-
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Никакой паники, Wikicms, рассказываю все как есть. Уточните пжст:
1) Вы считаете в этом вина хостера?
2) Переход на другой хостинг может негативно повлиять на индексацию поисковиками? Сайт под АГС Яндекса, но Google пока индексирует его хорошо.
3) Перенос БД в нынешнем виде на новый хостинг разве не воспроизведет на новом месте все прежние дыры в защите сайта?Yui, вы думаете совпадение времени взлома
.htaccess
со временем блокировки плагином этого бота случайно?Что-нибудь можно предпринять для выявления дыры в сайте?
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Добавил в
www\htdocs\.htaccess
следующий фрагмент:<files xmlrpc.php>
Order allow,deny
Deny from all
</files>Но проблема явно не в этом — файл соответствует тому, что в дистрибутиве. И сегодня же меня взломали в очередной раз, судя по всему — с IP 204.12.247.162. В 16.00 в очередной раз был отредактирован
.htaccess
, из которого в очередной был удален запрет на обращения к wp-login.php со всех IP, кроме моего. В это же время, в 16.00, пришло сообщение:A хост, 204.12.247.162(you can check the host at http://ip-adress.com/ip_tracer/204.12.247.162) был заблокирован сайт WordPress в МОЙ САЙТ permanently из-заслишком много попыток не существующий открыть файл. Вы можете войти на сайт вручную сняв блокировку, если необходимо.
Судя по всему, это какой-то бот с сайта majestic12.co.uk. В http-логах информации на 16.00 пока нет, но вот небольшая часть обращений с этого IP:
204.12.247.162 — — [21/Oct/2013:11:58:15 +0000] «GET /robots.txt HTTP/1.0» 200 420 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
204.12.247.162 — — [21/Oct/2013:11:58:41 +0000] «GET /?feed=rss2&tag=%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8-%D0%B1%D1%83%D0%B4%D1%83%D1%89%D0%B5%D0%B3%D0%BE HTTP/1.0» 404 961 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
204.12.247.162 — — [21/Oct/2013:11:58:28 +0000] «GET /?feed=rss2&tag=%D0%BF%D0%B0%D1%82%D1%87 HTTP/1.0» 301 — «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
204.12.247.162 — — [21/Oct/2013:11:58:25 +0000] «GET /?feed=rss2&tag=%D0%B1%D0%BE%D0%B4%D0%B8%D1%85%D0%B0%D0%BA%D0%B5%D1%80%D1%8B HTTP/1.0» 404 912 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
204.12.247.162 — — [21/Oct/2013:11:59:10 +0000] «GET /novy-j-rejting-proizvoditel-nosti-smartfonov-ot-which/ HTTP/1.0» 200 26153 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
204.12.247.162 — — [21/Oct/2013:11:59:24 +0000] «GET /?tag=%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D0%BE HTTP/1.0» 404 24677 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
204.12.247.162 — — [21/Oct/2013:11:59:17 +0000] «GET /?tag=%D0%B1%D0%B0%D1%82%D0%B0%D1%80%D0%B5%D1%8F HTTP/1.0» 404 24677 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
204.12.247.162 — — [21/Oct/2013:11:59:20 +0000] «GET /?tag=%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C HTTP/1.0» 404 24677 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
204.12.247.162 — — [21/Oct/2013:11:58:56 +0000] «GET /?feed=rss2&tag=%D1%8D%D0%BD%D0%B5%D1%80%D0%B3%D0%B5%D1%82%D0%B8%D0%BA%D0%B0 HTTP/1.0» 404 912 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
204.12.247.162 — — [21/Oct/2013:11:58:53 +0000] «GET /?feed=rss2&tag=%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BC%D0%BE%D1%82%D0%BE%D1%86%D0%B8%D0%BA%D0%BB%D1%8B HTTP/1.0» 404 948 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+)»
Что посоветуте?
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Wikicms, Yui, спасибо.
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Разрешите два уточнения:
1) Правильно ли я понял, что это будет означать невозможность написания комментариев к записям? Не хотел бы этого лишаться.
2) Можно ли как-нибудь узнать не был ли он уже взломан и модифицирован нужным образом?Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Подскажите пжст что делать со следующей информацией:
1) В предоставленном хостером ftp-логе
мой хост_login.txt
помимо моего IP регулярно (в разные даты), и даже чаще моего, встречается один посторонний. С других компьютеров я ftp-клиентом не пользовался, и вообще это другой регион (и не хостера тоже). Нигде в сохраненных мною в разные дни http-логах этот IP не встречается. В ftp-логемой хост_ftp.txt
встречаются только мои IP.2) Специалист техподдержки хостера, если я правильно его понял (в чем не вполне уверен), вроде бы увидел, что были обращения (к
.htaccess
?) со скриптаxmlrpc.php
. Он допускает, что сайт был взломан через этот скрипт. Очередное изменение этого и других скриптов было месяц назад. Правда, это если верить ftp-клиенту, специалист техподдержки говорил, что истинные даты редактирования скриптов надо смотреть в терминале командой stat.В http-логе файл
xmlrpc.php
упоминается следующим образом (привожу только часть, с одних и тех же IP такие обращения были неоднократно):192.99.2.192 — — [19/Oct/2013:00:40:45 +0000] «POST /xmlrpc.php HTTP/1.0» 200 370 «http://МОЙ САЙТ/forums/topic/health-insurance-described-in-basic-english-part-1/page/18/» «PHP/5.2.10»
78.28.145.2 — — [19/Oct/2013:07:54:11 +0000] «POST /xmlrpc.php HTTP/1.0» 200 370 «http://МОЙ САЙТ/forums/topic/health-insurance-described-in-basic-english-part-1/page/9/» «PHP/5.2.10»
91.236.74.119 — — [19/Oct/2013:13:39:50 +0000] «POST /xmlrpc.php HTTP/1.0» 200 370 «http://МОЙ САЙТ/forums/topic/precisely-why-as-much-as-70-two-wheeler-039-s-uninsured-in-indian/» «PHP/5.2.10»
89.111.178.164 — — [19/Oct/2013:20:01:28 +0000] «POST /xmlrpc.php HTTP/1.0» 200 443 «-» «The Incutio XML-RPC PHP Library — WordPress/470»
Форум на сайте был, но около месяца назад из-за постоянного спама я его удалил.
3) На самом сайте визуально изменений нет, посторонних файлов в папках вроде не вижу (правда, понятия не имею как и где их искать).
Короче, что делать и даже что спрашивать у хостера не знаю. Подскажите пжст кто в этом понимает: что предпринять, или какого рода уточнующую информацию запрашивать у хостера?
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Проклятье, опять моя невнимательность… Мне ведь писал об этом Юрий. Я сначала пробую на одном из двух своих сайтов, вот и забыл потом прописать то же самое и на втором. Большое спасибо!
Похоже, что моя невнимательность была не при чем. Сегодня получил очередное сообщение о слишком большом количестве входов, в логе увидел, что успешно обращались к
wp-login
. Например:188.186.51.75 — — [20/Oct/2013:06:15:58 +0000] «POST /wp-login.php HTTP/1.0» 200 4611 «http://МОЙ САЙТ/wp-login.php» «Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1»
Отрываю
www\htdocs\.htaccess
, и что же: блокировки обращений кwp-login.php
со всех IP кроме моего — как не бывало. Дата изменения файла — вчера, хотя я вчера ничего не менял, новых плагинов тоже не ставил (меня в это время даже дома не было). При этом в панели управления хостера установленный мною запрет на полное (даже владельцу) редактированиеwww\htdocs\.htaccess
стоит.Буду писать запрос хостеру на ftp-логи.
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?ОК, еще раз спасибо.
Подожду пару недель, если попытки входа прекратятся — отмечу как решенную проблему.
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Теперь понятно, спасибо. Одного не пойму — почему в тех же Better WP Security и Wordfence Security не прописаны все эти элементарные меры предосторожности в виде галочки на опции «Блокировать доступ к
wp-admin
иwp-login.php
всем, кроме заданных IP»? И кстати, что скажете про BulletProof Security, стоит ли с ним связываться? Я как началась ночная атака поставил, но настройки показались слишком сложными, не наломать бы дров.Скорее появятся )) Если что-то хорошее для чайников знаете — буду очень признателен.
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Как вы наверное поняли, я уже обнаружил свою невнимательность.
Я понимаю, что это разные вещи, поэтому и спросил. Если через http вход осуществляется через папку
wp-admin
, то зачем надо блокироватьwp-login.php
? Не потому ли, что к ней можно обращаться напрямую через другой протокол? Если нет, то почему недостаточно блокировкиwp-admin
?Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Проклятье, опять моя невнимательность… Мне ведь писал об этом Юрий. Я сначала пробую на одном из двух своих сайтов, вот и забыл потом прописать то же самое и на втором. Большое спасибо!
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Вообщем, результат нулевой. Несмотря на запрет чтения www\htdocs\wp-admin\.htaccess:
Order deny,allow
Deny from all
Allow from мой IP
<files admin-ajax.php>
Allow from all
</files>а также несмотря на настройки www\htdocs\.htaccess:
<files .htaccess>
Order allow,deny
Deny from all
</files><files readme.html>
Order allow,deny
Deny from all
</files><files readme.txt>
Order allow,deny
Deny from all
</files><files install.php>
Order allow,deny
Deny from all
</files><files wp-config.php>
Order allow,deny
Deny from all
</files>а также несмотря на активированные плагины Better WP Security и Wordfence Security, в очередной пошла лавина сообщений «хост… был заблокирован… из-заслишком много попыток входа» — по одному раз в несколько секунд.
Напомню, что запрет на чтение папки wp-admin с других IP работает. Ну как его обходят все эти взломщики, боты и прочая нечесть?
Форум: Проблемы и решения
Тема: Как оптимизироват библиотеку файлов?Ясно, спасибо.
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Мало ли, может какие-нибудь скобочки-кавычки добавили. Надо просто, например, так
Стыдно признаться, но Юрий оказался прав — я вставил предложенный им код вместе с IP, заключенным в ‘#’ — почему-то был уверен, что потом убрал их. Сейчас все в порядке, с моего IP пускает, с других нет. Еще раз всем большое спасибо. С позволения модераторов тему пока как решенную не отмечаю, хочу понять какие будут результаты.
Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Тем не менее, в спам-папке с тремя комментами только у одного из них указан адрес, и он другой — 58.49.50.234. У двух других указаны только сайты (
post-2012.com/bags2013/louis-vuitton-592.html
иwww.chaussuresclhommepascher.com
). Реальный комментарий есть, у него обычный IP.Форум: Проблемы и решения
Тема: Как закрыть доступ к системным папкам?Спасибо, не сообразил ))
Yui, я как раз про это говорил:
В консоли указан IP одного из спам-комментов, по другим указаны сайты. А какое комменты имеют отношение к хостеру? Спам шел лавиной, пока не установил плагин Captcha, сейчас бывают изредка. Еще есть Self Ping, от которого я так и не избавился.
Раньше, насколько я успел заметить, спам шел с разных адресов.