Взломали сайт или надо искать в другом месте?

Тема в разделе "Мегафлуд", создана пользователем AlexLSL, 14 июн 2019.

  1. AlexLSL

    AlexLSL Создатель

    Регистр.:
    23 фев 2017
    Сообщения:
    47
    Симпатии:
    16
    Месяца два наверно заметил один IP, с которого пытались открывать несуществующие директории, admin, и страницы которых тоже нет, названий не помню, что то с вордпрессом связанное.
    Я закинул этот айпи в htaccess c блокировкой его. С него продолжают идти запросы, и им выдается 403, здесь все ок.
    Проблема в другом, в том, что каким-то образом, периодически, происходит так, как будто это я хочу зайти на сайт под этим IP, и мне соответственно не дает это сделать, выдает 403. Проверяю свой айпишник в WHOIS, в этот момент, там высвечивает нормальный айпи провайдера.

    Куда копать, я что то не могу понять, что делать?
     
  2. duke1999

    duke1999

    Регистр.:
    11 сен 2012
    Сообщения:
    235
    Симпатии:
    129
    Как это
    ?
     
    metsys нравится это.
  3. Azmandios

    Azmandios Создатель

    Регистр.:
    3 июн 2019
    Сообщения:
    19
    Симпатии:
    9
    банальность, но логи... что в них ? у вас VDS ?

    ваше описание несколько смущает... может 403 не из-за IP ? может у вас еще куча правил прописано интересных в htaccess ?
     
  4. Minor

    Minor

    Регистр.:
    16 авг 2012
    Сообщения:
    190
    Симпатии:
    74
    IP не мобильный хоть?
     
  5. AlexLSL

    AlexLSL Создатель

    Регистр.:
    23 фев 2017
    Сообщения:
    47
    Симпатии:
    16
    Еще раз.
    Логи смотрю на хостинге, хостинг не ВДС.
    Захожу на сайт с мобильного или с компа на том же интернете (мобильном).
    В логах апача мне показывает
    Код:
    62.4.14.80 - - [14/Jun/2019:21:25:21 +0300] "GET /blog/ HTTP/1.0" 403 670 "https://xxx.com.ua/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36 OPR/60.0.3255.151"
    Мобильный IP другой, я его смотрю в этот же момент на whois.

    htaccess
    RewriteEngine On
    RewriteBase /

    # Germany = 5.9. 46.4. 78.46. 88.198. 88.217. 144.76. 148.251. 178.203. 46.229.168 94.130.18.35 173.212.233.
    # France = 51.254. 62.210.148. 91.121. 149.202. 151.80. 164.132. 212.83.174. 163. 188.165.233. 188.165.234.
    # USA = 69.30. 69.197.163.195 71.13.87.122 104.131.147.112 107.170. 192.187.104. 192.243.55. 207.46.13.97 148.177.168.116 104.148.44. 169.229.3.91
    # USA = 54.165. 34.192. 216.244.64.-216.244.95. 199.47.80.-199.47.87 104.148.44.34 104.148.71.26 104.148.38. 198.89.125.126 23.237.4.26
    # Ukraine = 91.198.143. 130.0. 89.21.70. 89.21.71. 178.137.128. 193.106.28. 193.106.29. 193.106.30. 193.106.31. 91.200.80.2
    # Kazahstan = 82.200.159.
    # Ireland = 185.234.217.
    # Poland = 80.211.246. 91.196.48.-91.196.51. 185.25.148. 185.25.151.
    # Canada = 167.114.181.145 192.175.111.237
    # Thailand = 118.174.41.

    Order deny,allow
    Deny from 5.9. 46.4. 51.254. 62.210.148. 69.30. 69.197.163.195 71.13.87.122 78.46. 88.198. 88.217. 91.121. 91.198.143. 104.131.147.112 107.170. 130.0. 144.76. 148.251. 149.202. 151.80. 164.132. 173.212.233.
    Deny from 178.203. 192.187.104. 192.243.55. 207.46.13.97 212.83.174. 148.177.168.116 82.200.159. 89.21.70. 89.21.71. 104.148.44. 163. 54.165. 34.192. 216.244.64. 188.165.233. 188.165.234. 178.137.128. 104.148.44.34
    Deny from 185.234.217. 193.106.28. 193.106.29. 193.106.30. 193.106.31. 94.130.18.35 199.47.80. 199.47.81. 199.47.82. 199.47.83. 199.47.84. 199.47.85. 199.47.86. 199.47.87. 167.114.181.145 192.175.111.237
    Deny from 216.244.64. 216.244.65. 216.244.66. 216.244.67. 216.244.68. 216.244.69. 216.244.70. 216.244.71. 216.244.72. 216.244.73. 216.244.74. 216.244.75. 216.244.76. 216.244.77. 216.244.78. 216.244.79. 104.148.71.26 80.211.246.
    Deny from 216.244.80. 216.244.81. 216.244.82. 216.244.83. 216.244.84. 216.244.85. 216.244.86. 216.244.87. 216.244.88. 216.244.89. 216.244.90. 216.244.91. 216.244.92. 216.244.93. 216.244.94. 216.244.95.
    Deny from 91.196.48. 91.196.49. 91.196.50. 91.196.51. 169.229.3.91 185.25.148. 185.25.149. 185.25.150. 185.25.151. 91.200.80.2

    RewriteEngine on
    RewriteCond %{HTTP_USER_AGENT} “.*AhrefsBot.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*SemrushBot.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*MJ12bot.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*Riddler.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*aiHitBot.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*trovitBot.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*Detectify.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*BLEXBot.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*dotbot.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*FlipboardProxy.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*rogerBot.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*MegaIndex\.ru/2\.0.*” [OR]
    RewriteCond %{HTTP_USER_AGENT} “.*LinkpadBot.*”
    RewriteRule “.*” “-” [F]

    #
    Order Allow,Deny
    Allow from all
    Deny from 46.22.208.
    Deny from 103.207.37.189
    Deny from 62.4.14.80
    Deny from 95.163.118.
    Deny from 95.174.124.
    Deny from 109.194.162.
    Deny from 213.108.168.
    Deny from 158.69.0.0/16
    Deny from 151.80.0.0/16
    Deny from 147.78.64.
    Deny from 85.10.56.
    Deny from 37.235.49.
    Deny from 151.236.24.
    Deny from 173.232.44.73
    Deny from 51.68.153.
    Deny from 103.207.38.
    Deny from 195.12.50.
    Deny from 51.83.76.

    Redirect 301 /glavnaya-katalog-/ https://xxx.com.ua/

    # Advanced Tags Module (Do not remove this comment!)
    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteRule ^tags/([^?&]*)/$ /index.php?fc=module&module=advancedtags&controller=browse&tag=$1 [QSA,L]
    RewriteRule ^([a-z]{2})/tags/([^?&]*)/$ /index.php?fc=module&module=advancedtags&controller=browse&tag=$2&isolang=$1 [QSA,L]
    RewriteRule ^tags/$ /index.php?fc=module&module=advancedtags&controller=tags [QSA,L]
    RewriteRule ^([a-z]{2})/tags/$ /index.php?fc=module&module=advancedtags&controller=tags&isolang=$1 [QSA,L]
    # Backward compatibility
    RewriteRule ^tag/([^?&]*)$ /tags/$1/ [L,R=301]
    RewriteRule ^([a-z]{2})/tag/([^?&]*)$ /$1/tags/$2/ [L,R=301]
    RewriteRule ^alltags/$ /tags/ [L,R=301]
    </IfModule>

    # ~~start~~ Do not remove this comment, Prestashop will keep automatically the code outside this comment when .htaccess will be generated again
    # .htaccess automaticaly generated by PrestaShop e-commerce open-source solution
    # http://www.prestashop.com - http://www.prestashop.com/forums

    <IfModule mod_rewrite.c>
    <IfModule mod_env.c>
    SetEnv HTTP_MOD_REWRITE On
    </IfModule>

    RewriteEngine on


    #Domain: diolife.com.ua
    RewriteRule . - [E=REWRITEBASE:/]
    RewriteRule ^api$ api/ [L]

    RewriteRule ^api/(.*)$ %{ENV:REWRITEBASE}webservice/dispatcher.php?url=$1 [QSA,L]

    # Images
    RewriteRule ^([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$1$2$3.jpg [L]
    RewriteRule ^([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$1$2$3$4.jpg [L]
    RewriteRule ^([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$1$2$3$4$5.jpg [L]
    RewriteRule ^([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$1$2$3$4$5$6.jpg [L]
    RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$1$2$3$4$5$6$7.jpg [L]
    RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$6/$1$2$3$4$5$6$7$8.jpg [L]
    RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$6/$7/$1$2$3$4$5$6$7$8$9.jpg [L]
    RewriteRule ^([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])([0-9])(\-[_a-zA-Z0-9-]*)?(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/p/$1/$2/$3/$4/$5/$6/$7/$8/$1$2$3$4$5$6$7$8$9$10.jpg [L]
    RewriteRule ^c/([0-9]+)(\-[\.*_a-zA-Z0-9-]*)(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/c/$1$2$3.jpg [L]
    RewriteRule ^c/([a-zA-Z_-]+)(-[0-9]+)?/.+\.jpg$ %{ENV:REWRITEBASE}img/c/$1$2.jpg [L]
    # AlphaImageLoader for IE and fancybox
    RewriteRule ^images_ie/?([^/]+)\.(jpe?g|png|gif)$ js/jquery/plugins/fancybox/images/$1.$2 [L]

    # Dispatcher
    RewriteCond %{REQUEST_FILENAME} -s [OR]
    RewriteCond %{REQUEST_FILENAME} -l [OR]
    RewriteCond %{REQUEST_FILENAME} -d
    RewriteRule ^.*$ - [NC,L]
    RewriteRule ^.*$ %{ENV:REWRITEBASE}index.php [NC,L]
    </IfModule>

    AddType application/vnd.ms-fontobject .eot
    AddType font/ttf .ttf
    AddType font/otf .otf
    AddType font/woff2 .woff2
    AddType application/x-font-woff .woff
    <IfModule mod_headers.c>
    <FilesMatch "\.(ttf|ttc|otf|eot|woff|woff2|svg)$">
    Header set Access-Control-Allow-Origin "*"
    </FilesMatch>
    </IfModule>

    <IfModule mod_expires.c>
    ExpiresActive On
    ExpiresByType image/gif "access plus 1 month"
    ExpiresByType image/jpeg "access plus 1 month"
    ExpiresByType image/png "access plus 1 month"
    ExpiresByType text/css "access plus 1 week"
    ExpiresByType text/javascript "access plus 1 week"
    ExpiresByType application/javascript "access plus 1 week"
    ExpiresByType application/x-javascript "access plus 1 week"
    ExpiresByType image/x-icon "access plus 1 year"
    ExpiresByType image/svg+xml "access plus 1 year"
    ExpiresByType image/vnd.microsoft.icon "access plus 1 year"
    ExpiresByType application/font-woff "access plus 1 year"
    ExpiresByType application/x-font-woff "access plus 1 year"
    ExpiresByType font/woff2 "access plus 1 year"
    ExpiresByType application/vnd.ms-fontobject "access plus 1 year"
    ExpiresByType font/opentype "access plus 1 year"
    ExpiresByType font/ttf "access plus 1 year"
    ExpiresByType font/otf "access plus 1 year"
    ExpiresByType application/x-font-ttf "access plus 1 year"
    ExpiresByType application/x-font-otf "access plus 1 year"
    </IfModule>

    <IfModule mod_headers.c>
    Header unset Etag
    </IfModule>
    FileETag none
    <IfModule mod_deflate.c>
    <IfModule mod_filter.c>
    AddOutputFilterByType DEFLATE text/html text/css text/javascript application/javascript application/x-javascript font/ttf application/x-font-ttf font/otf application/x-font-otf font/opentype image/svg+xml
    </IfModule>
    </IfModule>

    #If rewrite mod isn't enabled
    ErrorDocument 404 /index.php?controller=404

    # ~~end~~ Do not remove this comment, Prestashop will keep automatically the code outside this comment when .htaccess will be generated again

    RemoveHandler .php # phpvs v72
    AddType php72cgi .php # phpvs v72

    Например, я пытаюсь зайти в админку сайта, мне 403 ошибку.
    Я в логи, там с не моего айпи, того что выше, попытка зайти в админку
    62.4.14.80 - - [14/Jun/2019:14:32:09 +0300] "GET /adminXXXXXX/index.php?controller=AdminCustomerThreads&id_customer_thread=11&viewcustomer_thread&token=b820c8151283ffa48a8f0dd71e571dd4 HTTP/1.0" 403 689 "https://xxx.com.ua/adminxxxxxx/inde...merThreads&token=b820c81xxxx48a8f0dd71e571dd4" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36 OPR/60.0.3255.151"
    Проверка в whois, там высвечивает айпи мобильного провайдера, отличный от того что в логах.
     
    Последнее редактирование модератором: 15 июн 2019
  6. pc-kiev

    pc-kiev Постоялец

    Регистр.:
    4 окт 2012
    Сообщения:
    51
    Симпатии:
    40
    Сталкивался с проблемой взлома, из-за уязвимости темы Warehouse. Авторы выпустили обновление, которое закрывает дыры. Но после этого возникли различные проблемы. Год проработав с глюками, решил полностью снести магазин, и на его месте сделать новый, а это 15 тыс товаров.
     
  7. Azmandios

    Azmandios Создатель

    Регистр.:
    3 июн 2019
    Сообщения:
    19
    Симпатии:
    9
    на первый взгляд нормально, предлагаю следующее:

    как минимум просканировать исходники сайта чем то таким:

    и как ни банально иногда Kaspersky в исходниках сайта хрень может найти (заметил случайно, но действие имеет).

    ваш IP есть в спам базе
     
    AlexLSL нравится это.
  8. pc-kiev

    pc-kiev Постоялец

    Регистр.:
    4 окт 2012
    Сообщения:
    51
    Симпатии:
    40
    У меня Ai-bolit ничего не нашел. Пришлось искать вручную. Оказалось были внесены изменения в код, собиралась информация с платежными данными покупателей, в отдельный текстовый файл.
     
  9. Angelok

    Angelok Создатель

    Регистр.:
    26 июл 2017
    Сообщения:
    23
    Симпатии:
    10
    1.
    попробуйте тупо вывести $_SERVER['REMOTE_ADDR']
    в index.php
    потом в шапке и футере темы и сравните.

    2.
    при подозрении на вирус просканировать скрипты на наличие base64_decode exec system

    3. посморте трассировку к вашему серверу


    забыл добавить - бекап наше все
     
    Последнее редактирование модератором: 16 июн 2019
    AlexLSL нравится это.
  10. AlexLSL

    AlexLSL Создатель

    Регистр.:
    23 фев 2017
    Сообщения:
    47
    Симпатии:
    16
    С этим не могу справиться, шапка и футер формируется в tpl файлах, не получается туда засунуть пхп.
    Или я не туда вставляю? Можно подробнее куда и как?