Взломали сайт или надо искать в другом месте?

AlexLSL

Постоялец
Регистрация
23 Фев 2017
Сообщения
81
Реакции
53
Месяца два наверно заметил один IP, с которого пытались открывать несуществующие директории, admin, и страницы которых тоже нет, названий не помню, что то с вордпрессом связанное.
Я закинул этот айпи в htaccess c блокировкой его. С него продолжают идти запросы, и им выдается 403, здесь все ок.
Проблема в другом, в том, что каким-то образом, периодически, происходит так, как будто это я хочу зайти на сайт под этим IP, и мне соответственно не дает это сделать, выдает 403. Проверяю свой айпишник в WHOIS, в этот момент, там высвечивает нормальный айпи провайдера.

Куда копать, я что то не могу понять, что делать?
 
Месяца два наверно заметил один IP, с которого пытались открывать несуществующие директории, admin, и страницы которых тоже нет, названий не помню, что то с вордпрессом связанное.
Куда копать, я что то не могу понять, что делать?

банальность, но логи... что в них ? у вас VDS ?

ваше описание несколько смущает... может 403 не из-за IP ? может у вас еще куча правил прописано интересных в htaccess ?
 
IP не мобильный хоть?
 
Еще раз.
Логи смотрю на хостинге, хостинг не ВДС.
Захожу на сайт с мобильного или с компа на том же интернете (мобильном).
В логах апача мне показывает
Код:
62.4.14.80 - - [14/Jun/2019:21:25:21 +0300] "GET /blog/ HTTP/1.0" 403 670 "https://xxx.com.ua/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36 OPR/60.0.3255.151"
Мобильный IP другой, я его смотрю в этот же момент на whois.

htaccess
RewriteEngine On
RewriteBase /

# Germany = 5.9. 46.4. 78.46. 88.198. 88.217. 144.76. 148.251. 178.203. 46.229.168 94.130.18.35 173.212.233.
# France = 51.254. 62.210.148. 91.121. 149.202. 151.80. 164.132. 212.83.174. 163. 188.165.233. 188.165.234.
# USA = 69.30. 69.197.163.195 71.13.87.122 104.131.147.112 107.170. 192.187.104. 192.243.55. 207.46.13.97 148.177.168.116 104.148.44. 169.229.3.91
# USA = 54.165. 34.192. 216.244.64.-216.244.95. 199.47.80.-199.47.87 104.148.44.34 104.148.71.26 104.148.38. 198.89.125.126 23.237.4.26
# Ukraine = 91.198.143. 130.0. 89.21.70. 89.21.71. 178.137.128. 193.106.28. 193.106.29. 193.106.30. 193.106.31. 91.200.80.2
# Kazahstan = 82.200.159.
# Ireland = 185.234.217.
# Poland = 80.211.246. 91.196.48.-91.196.51. 185.25.148. 185.25.151.
# Canada = 167.114.181.145 192.175.111.237
# Thailand = 118.174.41.

Order deny,allow
Deny from 5.9. 46.4. 51.254. 62.210.148. 69.30. 69.197.163.195 71.13.87.122 78.46. 88.198. 88.217. 91.121. 91.198.143. 104.131.147.112 107.170. 130.0. 144.76. 148.251. 149.202. 151.80. 164.132. 173.212.233.
Deny from 178.203. 192.187.104. 192.243.55. 207.46.13.97 212.83.174. 148.177.168.116 82.200.159. 89.21.70. 89.21.71. 104.148.44. 163. 54.165. 34.192. 216.244.64. 188.165.233. 188.165.234. 178.137.128. 104.148.44.34
Deny from 185.234.217. 193.106.28. 193.106.29. 193.106.30. 193.106.31. 94.130.18.35 199.47.80. 199.47.81. 199.47.82. 199.47.83. 199.47.84. 199.47.85. 199.47.86. 199.47.87. 167.114.181.145 192.175.111.237
Deny from 216.244.64. 216.244.65. 216.244.66. 216.244.67. 216.244.68. 216.244.69. 216.244.70. 216.244.71. 216.244.72. 216.244.73. 216.244.74. 216.244.75. 216.244.76. 216.244.77. 216.244.78. 216.244.79. 104.148.71.26 80.211.246.
Deny from 216.244.80. 216.244.81. 216.244.82. 216.244.83. 216.244.84. 216.244.85. 216.244.86. 216.244.87. 216.244.88. 216.244.89. 216.244.90. 216.244.91. 216.244.92. 216.244.93. 216.244.94. 216.244.95.
Deny from 91.196.48. 91.196.49. 91.196.50. 91.196.51. 169.229.3.91 185.25.148. 185.25.149. 185.25.150. 185.25.151. 91.200.80.2

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} “.*AhrefsBot.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*SemrushBot.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*MJ12bot.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*Riddler.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*aiHitBot.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*trovitBot.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*Detectify.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*BLEXBot.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*dotbot.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*FlipboardProxy.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*rogerBot.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*MegaIndex\.ru/2\.0.*” [OR]
RewriteCond %{HTTP_USER_AGENT} “.*LinkpadBot.*”
RewriteRule “.*” “-” [F]

#
Order Allow,Deny
Allow from all
Deny from 46.22.208.
Deny from 103.207.37.189
Deny from 62.4.14.80
Deny from 95.163.118.
Deny from 95.174.124.
Deny from 109.194.162.
Deny from 213.108.168.
Deny from 158.69.0.0/16
Deny from 151.80.0.0/16
Deny from 147.78.64.
Deny from 85.10.56.
Deny from 37.235.49.
Deny from 151.236.24.
Deny from 173.232.44.73
Deny from 51.68.153.
Deny from 103.207.38.
Deny from 195.12.50.
Deny from 51.83.76.

Redirect 301 /glavnaya-katalog-/ Для просмотра ссылки Войди или Зарегистрируйся

# Advanced Tags Module (Do not remove this comment!)
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^tags/([^?&]*)/$ /index.php?fc=module&module=advancedtags&controller=browse&tag=$1 [QSA,L]
RewriteRule ^([a-z]{2})/tags/([^?&]*)/$ /index.php?fc=module&module=advancedtags&controller=browse&tag=$2&isolang=$1 [QSA,L]
RewriteRule ^tags/$ /index.php?fc=module&module=advancedtags&controller=tags [QSA,L]
RewriteRule ^([a-z]{2})/tags/$ /index.php?fc=module&module=advancedtags&controller=tags&isolang=$1 [QSA,L]
# Backward compatibility
RewriteRule ^tag/([^?&]*)$ /tags/$1/ [L,R=301]
RewriteRule ^([a-z]{2})/tag/([^?&]*)$ /$1/tags/$2/ [L,R=301]
RewriteRule ^alltags/$ /tags/ [L,R=301]
</IfModule>

# ~~start~~ Do not remove this comment, Prestashop will keep automatically the code outside this comment when .htaccess will be generated again
# .htaccess automaticaly generated by PrestaShop e-commerce open-source solution
# Для просмотра ссылки Войди или Зарегистрируйся - Для просмотра ссылки Войди или Зарегистрируйся

<IfModule mod_rewrite.c>
<IfModule mod_env.c>
SetEnv HTTP_MOD_REWRITE On
</IfModule>

RewriteEngine on


#Domain: diolife.com.ua
RewriteRule . - [E=REWRITEBASE:/]
RewriteRule ^api$ api/ [L]

RewriteRule ^api/(.*)$ %{ENV:REWRITEBASE}webservice/dispatcher.php?url=$1 [QSA,L]

# Images
RewriteRule ^([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$1$2$3.jpg [L]
RewriteRule ^([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$1$2$3$4.jpg [L]
RewriteRule ^([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$1$2$3$4$5.jpg [L]
RewriteRule ^([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$1$2$3$4$5$6.jpg [L]
RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$1$2$3$4$5$6$7.jpg [L]
RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$6/$1$2$3$4$5$6$7$8.jpg [L]
RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$6/$7/$1$2$3$4$5$6$7$8$9.jpg [L]
RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$6/$7/$8/$1$2$3$4$5$6$7$8$9$10.jpg [L]
RewriteRule ^c/([0-9]+)(\-[\.*_a-zA-Z0-9-]*)(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/c/$1$2$3.jpg [L]
RewriteRule ^c/([a-zA-Z_-]+)(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/c/$1$2.jpg [L]
# AlphaImageLoader for IE and fancybox
RewriteRule ^images_ie/?([^/]+)\.(jpe?g|png|gif)$ js/jquery/plugins/fancybox/images/$1.$2 [L]

# Dispatcher
RewriteCond %{REQUEST_FILENAME} -s [OR]
RewriteCond %{REQUEST_FILENAME} -l [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^.*$ - [NC,L]
RewriteRule ^.*$ %{ENV:REWRITEBASE}index.php [NC,L]
</IfModule>

AddType application/vnd.ms-fontobject .eot
AddType font/ttf .ttf
AddType font/otf .otf
AddType font/woff2 .woff2
AddType application/x-font-woff .woff
<IfModule mod_headers.c>
<FilesMatch "\.(ttf|ttc|otf|eot|woff|woff2|svg)$">
Header set Access-Control-Allow-Origin "*"
</FilesMatch>
</IfModule>

<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/jpeg "access plus 1 month"
ExpiresByType image/png "access plus 1 month"
ExpiresByType text/css "access plus 1 week"
ExpiresByType text/javascript "access plus 1 week"
ExpiresByType application/javascript "access plus 1 week"
ExpiresByType application/x-javascript "access plus 1 week"
ExpiresByType image/x-icon "access plus 1 year"
ExpiresByType image/svg+xml "access plus 1 year"
ExpiresByType image/vnd.microsoft.icon "access plus 1 year"
ExpiresByType application/font-woff "access plus 1 year"
ExpiresByType application/x-font-woff "access plus 1 year"
ExpiresByType font/woff2 "access plus 1 year"
ExpiresByType application/vnd.ms-fontobject "access plus 1 year"
ExpiresByType font/opentype "access plus 1 year"
ExpiresByType font/ttf "access plus 1 year"
ExpiresByType font/otf "access plus 1 year"
ExpiresByType application/x-font-ttf "access plus 1 year"
ExpiresByType application/x-font-otf "access plus 1 year"
</IfModule>

<IfModule mod_headers.c>
Header unset Etag
</IfModule>
FileETag none
<IfModule mod_deflate.c>
<IfModule mod_filter.c>
AddOutputFilterByType DEFLATE text/html text/css text/javascript application/javascript application/x-javascript font/ttf application/x-font-ttf font/otf application/x-font-otf font/opentype image/svg+xml
</IfModule>
</IfModule>

#If rewrite mod isn't enabled
ErrorDocument 404 /index.php?controller=404

# ~~end~~ Do not remove this comment, Prestashop will keep automatically the code outside this comment when .htaccess will be generated again

RemoveHandler .php # phpvs v72
AddType php72cgi .php # phpvs v72

Например, я пытаюсь зайти в админку сайта, мне 403 ошибку.
Я в логи, там с не моего айпи, того что выше, попытка зайти в админку
62.4.14.80 - - [14/Jun/2019:14:32:09 +0300] "GET /adminXXXXXX/index.php?controller=AdminCustomerThreads&id_customer_thread=11&viewcustomer_thread&token=b820c8151283ffa48a8f0dd71e571dd4 HTTP/1.0" 403 689 "Для просмотра ссылки Войди или Зарегистрируйся" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36 OPR/60.0.3255.151"
Проверка в whois, там высвечивает айпи мобильного провайдера, отличный от того что в логах.
Для просмотра ссылки Войди или Зарегистрируйся/20
 
Последнее редактирование модератором:
Сталкивался с проблемой взлома, из-за уязвимости темы Warehouse. Авторы выпустили обновление, которое закрывает дыры. Но после этого возникли различные проблемы. Год проработав с глюками, решил полностью снести магазин, и на его месте сделать новый, а это 15 тыс товаров.
 
на первый взгляд нормально, предлагаю следующее:

как минимум просканировать исходники сайта чем то таким:
Для просмотра ссылки Войди или Зарегистрируйся

и как ни банально иногда Kaspersky в исходниках сайта хрень может найти (заметил случайно, но действие имеет).

ваш IP есть в спам базе
Для просмотра ссылки Войди или Зарегистрируйся
 
У меня Ai-bolit ничего не нашел. Пришлось искать вручную. Оказалось были внесены изменения в код, собиралась информация с платежными данными покупателей, в отдельный текстовый файл.
 
1.
попробуйте тупо вывести $_SERVER['REMOTE_ADDR']
в index.php
потом в шапке и футере темы и сравните.

2.
при подозрении на вирус просканировать скрипты на наличие base64_decode exec system

3. посморте трассировку к вашему серверу


Еще раз.
Логи смотрю на хостинге, хостинг не ВДС.
Захожу на сайт с мобильного или с компа на том же интернете (мобильном).

забыл добавить - бекап наше все
 
Последнее редактирование модератором:
потом в шапке и футере темы и сравните.
С этим не могу справиться, шапка и футер формируется в tpl файлах, не получается туда засунуть пхп.
Или я не туда вставляю? Можно подробнее куда и как?
 
Назад
Сверху