Как распознать что сайт пытаются взломать?

Question

[Артем Гартунг]

Имеется вот такой вот лог:

123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?site=member}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?action=getBasicInfo&terminal_id=2&token=&debug=true}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=1&position=index&_=1601489645097}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=1}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?id=500}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] POST: {"languageType":"3","appId":"","appKey":""}
123.58.220.220 [ Java/Android unknown unknown ] POST: {"os":"android","v":"1.2.2"}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?gid=651}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?v=4}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=1}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?keys=of_we}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?key=1}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?mobile_system=2}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=19}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?service=Home.getConfig}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?agent=1000}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?mod=do&act=login}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?t=0.3782499195965951}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?m=api&c=app&a=getPlatformConfig}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=002405}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?v=1543997196}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?v=1545408652}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?configKey=level_config}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?mobile_open=1}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?action=getBasicInfo&terminal_id=2&token=&debug=true}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?site=member}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=1&position=index&_=1601489645097}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?code=14&position=index&_=1601489645097}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?officeCode=customHomeLink}
123.58.220.220 [ Android Chrome 87.0.4280.141 ] GET: {https://site.ru/?callback=jQuery183016740860980352856_1604309800583}

Здесь явно видно что сайт пробивали на уязвимость и на "возможные" страницы настроек. Есть ли какой нибудь скрипт который может выявлять подобные запросы и на какое то время блокировать IP взломщика?

Comments

[aleks-th]

По факту как только вместо контента - на нем начнут порнуху крутить , значит точно взломали.

А вот как узнать автоматически в моменте - даже не знаю с чего начать... дорогое и сложное это удовольствие.

Лучше делать изначально как можно более безопасно делать, чем ловить злоумышленников во время взлома ..

[Ипатьев]

aleks-th, если речь о целенаправленном взломе - то да
А если о детях, которые тупо запускают готовые скрипты - то вот же, всё как на ладони
Меня только удивляет, что ни одного запроса к wp-admin

[Артем Гартунг]

Ипатьев, Были похожие

[Артем Гартунг]

Ипатьев,

https://site.ru/?rest_route=/wp/v2/users/
https://site.ru/?panel=config

Аж с 3х IP адресов

[mayton2019]

А сколько раз в секунду школьник так долбит?

[Артем Гартунг]

mayton2019, явно не более 5 раз, тк после недавней ддос атаки ввел скрипт который за частые запросы блочит IP

[mayton2019]

Артем Гартунг, ну я думаю что это и есть решение.

[Артем Гартунг]

mayton2019, Сейчас смотрю то что версия браузера далеко не актуальная, думаю еще реализовать проверку версии браузера пользователя

[mayton2019]

Артем Гартунг, я давно в стеке LAMP ничего не делал. Но мне кажется что такие типичные
настройки как троттлинг запросов и фильтрация пользовательского клиента уже должны
были стать частью стека.

Тоесть грубо говоря - дефолтное приложение должно быть защищено из коробки от типичных школьников.

Платные решения типа Cloudflare идут отдельной категорией. Их тут обсуждать не интересно. Речь
как раз о том что можно сделать в самом простом кейсе.

[Артем Гартунг]

mayton2019, да это ладно, проект связан с финансами, по факту есть ушлый хакер от него почему то никаких следов не остается, ни GET, ни POST (что меня очень удивляет), но 2 раза была попытка вывести средства по API проекта, но защита пока выдержала (спасибо большое местным пользователям за помощь) но все же лучше лишний раз и на это внимание обратить, нежели потом с распростертыми руками потом сидеть и локти кусать

[Дмитрий]

ну вы можете посмотреть заодно /var/log/auth.log - там еще вагон попыток будет.

[Дмитрий]

Артем Гартунг, в смысле никаких следов? это как бы не совсем возможно?

[Артем Гартунг]

Дмитрий, Серьезно максимум это чистые логи на попытку вывода денег, без всего дополнительного.

[Дмитрий]

Артем Гартунг, в смысле? у вас в логах вебсервера не фиксируются запросы от этого хакера на вывод?

[Артем Гартунг]

Дмитрий, в том то и дело что чисто. Лог ошибок:

(index.asis,index.php,index.phtml,index.htm,index.html,index.shtml) found, and server-generated directory index forbidden by Options directive, referer:  site.ru/connect

[Дмитрий]

Артем Гартунг, причем тут лог ошибок? access.log ловит обращение от пользователя?

[Артем Гартунг]

Обращения к сайту: Нет данных. Это единственное что хост выдает

[Дмитрий]

Артем Гартунг, давайте забьем слова с не понятным контекстом. и обратимся к словам у которых контекст определен.

есть логи вебсервера. и действия этого персонажа туда попадают? или они не настроены?

[Артем Гартунг]

Дмитрий, Лог ведется (насколько максимально тщетно он ведется я не знаю) но единственно первоначально что то когда попадало - по запросам я выяснил что это софт из гитхаба для линукс (название я точно не вспомню), и после обновы защиты я не вижу логов левых

[Дмитрий]

Артем Гартунг, дык если в лог вебсервера валятся все обращения то там должны быть обращения и этого человека - get, post запросы.

[aleks-th]

Артем Гартунг, если в логах нет следов, значит вас уже ломанули и чистят логи.

Answer 1

[ThunderCat]

Так это классическая работа для fail2ban. Настраиваете на повторяющиеся 404 и спите спокойно...

Answer 2

[Ипатьев]

На стороне РНР это делать бессмысленно. Поскольку "блокировки" на уровне приложения не снизят нагрузку на сайт.
Поэтому обычно никто не парится, если только это не начинает сказываться на производительности. Но в этом случае блокируют на подходах.
В целом, такое "распознавание" - вещь довольно бессмысленная, а зачастую и вредная.

Answer 3

[As56]

Если сайт на CMS, то для многих из них есть модули безопасности, которые детектят такие случаи и блокируют по ip в случае превышения лимита запросов

Answer 4

[Dimonchik]

бан Китая и прочей Азии решает 80% таких проблем