Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Atak na stronę....
faran
post
Post #1





Grupa: Zarejestrowani
Postów: 99
Pomógł: 2
Dołączył: 27.10.2006
Skąd: CyberRZECZYWISTOŚĆ

Ostrzeżenie: (0%)
-----

Witam,
Od kilku miesięcy prowadzę stronę na której ruch jest dość znikomy bo na dobę odwiedza ją 100 osób wyświetleń około 2000-3000. Przed momentem patrze w logi i widzę, że liczba wyświetleń bardzo rośnie....
Podpiąłem skrypt monitorujący ruch na stronie i kawałek niżej zamieszczam:
Kod
08.03.10 10:25:00 - data zapytania


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
173.74.100.243 - adres ip z ktorego zapytanie
-------------
08.03.10 10:25:02 - data zapytania


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
217.219.138.2 - adres ip z ktorego zapytanie
-------------
08.03.10 10:25:19


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
217.219.138.2
-------------
08.03.10 10:25:24


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:31


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:33


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:35


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:37


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:37


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:39


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:41


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
188.73.170.251
-------------
08.03.10 10:25:43


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:46


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:48


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
203.177.58.226
-------------
08.03.10 10:25:49


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
94.222.57.90
-------------
08.03.10 10:25:54


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
203.177.58.226
-------------
08.03.10 10:25:56


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
201.160.5.36
-------------
08.03.10 10:26:04


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
203.177.58.226
-------------
08.03.10 10:26:07


Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
201.160.5.36
-------------


Każde zapytanie kierowane jest na inną podstronę.... Godzina 11:30, a strona ma ponad 100 000 wyświetleń...
Da się przed czymś takim uchronić ?. Strona stoi na perso w ovh i przypuszczam, że z powodu dużego ruchu może zostać zablokowana, a może hosting w ovh już widział takie rzeczy i jakoś się zabezpiecza ?....
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi (1 - 3)
blooregard
post
Post #2


Newsman


Grupa: Moderatorzy
Postów: 2 033
Pomógł: 290
Dołączył: 21.12.2007
Skąd: Łódź
Cytat
203.177.58.226 = TechGrowth Global Proxy Server

Nie chcę Cię martwić, ale to wygląda na zautomatyzowany atak jakiegoś bota, wyszukującego luki w serwisach internetowych, który korzysta z proxy, by ukryć swoje prawdziwe pochodzenie (tzn. z jakiego IP faktycznie jest wywoływany).

Sprawdziłem też kilka innych adresów z tej listy i np. jeden pochodzi z USA, jeden z Azerbejdżanu.

Jeśli masz dostęp do logów z MySQL, zobacz, jakie zapytania są wywoływane.
Go to the top of the page
+Quote Post
faran
post
Post #3





Grupa: Zarejestrowani
Postów: 99
Pomógł: 2
Dołączył: 27.10.2006
Skąd: CyberRZECZYWISTOŚĆ

Ostrzeżenie: (0%)
-----

Adresy Ip to chyba cały świat bo jest i Izrael, Chiny, Korea....
Ataki typu sql ingetion raczej nie są zagrożeniem bo strona nie korzysta z mysql. 99% zapytań/wywołań to są oryginalne adresy url z jakich składa się strona, a 1-3% to typu: /index.php?page=http://*********/images?
Stronę starałem się zabezpieczyć aby przez zapytanie typu GET i POST nie dało się uruchomić żadnego skryptu i mam nadzieje że się udało, choć pewnie takie rzeczy to wychodzą w praniu. Bardziej się boje, że ovh zablokuje hosting.

Ten post edytował faran 8.03.2010, 12:23:01
Go to the top of the page
+Quote Post
blooregard
post
Post #4


Newsman


Grupa: Moderatorzy
Postów: 2 033
Pomógł: 290
Dołączył: 21.12.2007
Skąd: Łódź
Cytat
a 1-3% to typu: /index.php?page=http://*******/images?

Czyli bot sprawdza podatność na RFI (Remote File Include - dołączanie zdalnego pliku do kodu strony), co może być wstępem do kolejnych prób (XSS i pochodne).

Zresztą, jak wejdziesz pod adres http://*******/images? (tylko ostrooożnie (IMG:style_emoticons/default/smile.gif) ), sam się przekonasz, o co chodzi (pewnie o wstawienie do kodu Twojej strony ukrytej ramki przekierowującej na ten adres, albo coś w tym stylu).

Proponuję skontaktować się z administratorami OVH i przedstawienie im problemu, wraz z zarejestrowanymi przez Ciebie logami. Sam nic nie zrobisz, niestety.
Go to the top of the page
+Quote Post
« Następny starszy · Serwery WWW · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 13.06.2026 - 16:09
Powered By IP.Board © 2026  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn