AlexeyKolodchenko
@AlexeyKolodchenko
sudo cat /dev/ass | grep “the Adventure”

Что за запрос на сервере?

На сайт, все время долбится один и тот же IP и плагин считает его запрос попыткой взлома, я, как ни странно, с ним согласен. Моих знаний на данный момент не хватает разобраться с конструкцией его запроса:
"/index.php?s=/Index/thinkapp/invokefuncti(...)rray&vars[0]=md5&vars[1][]=HelloThinkPHP"
Не могли бы вы пояснить мне:
1. Это он пытается залить на сайт какой-то код?
2. Это он пытается запустить код с сайта? ThinkPHP - не установлен
3. ThinkPHP - что это?! Гугля толково информацию дать не может, я понял только, что это фреймворк. Его надо устанавливать? (скорее всего нет) Где его брать? Как им пользоваться?
4. Что правильнее сделать, с этим назойливым абонентом?
5. И расскажите, что пытается сделать эта строка и как себя обезопасить?
  • Вопрос задан
  • 851 просмотр
Решения вопроса 1
pro100chel
@pro100chel
Python && PHP Developer
Это боты, которые чекают сайты на уязвимости. По факту особо ничего нельзя сделать с ними.
ThinkPHP это фреймворк, а этот запрос - попытка использовать уязвимость в этом фреймворке.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Panascanic
@Panascanic
Немного WP и немного SEO
Не соглашусь про "по факту ничего нельзя сделать" и "не обращать внимания".

Плагин Wordfence в нем прописываются все за*бистые запросы в стиле:

/backup.sql.gz
/backup.gz
/directory.zip
/directory.gz
/backup.tar.gz
/wp-info.php
/public_html.zip
/login.php
/backup.sql.zip
/installer-backup.php
/readme.txt
/clipboard.min.js
/_config.cache.php
/?author=1
/cmd.php
/author=1
/unzipper.php
/unzip.php
/replace.php
/index.php
/options.php
//options.php
/xmlrpc.php
/phpminiadmin.php
/plugin.min.js


При повторе подобных команд, запросов - автоматический бан.
Особо настырных смотрим по IP здесь

5e8ec3ff8c670145224197.png

И вносим в бан:
5e8ec41b02af7180945035.png

Тут главное не переборщить, если с того пула адресов ходять клиенты - не дойдут :)

2. Это он пытается запустить код с сайта? ThinkPHP - не установлен


Да, у чудо бота есть набор прописанных сильно умным человеком, уязвимостей. Боты в некой мере хаотично бегают по сайтах и долбят что попало.
Они приходят и с серверов Microsoft :) Alibaba, GoDaddy.

Порой боты имитируют, что пришли с Google.com, потому что какой-то придур решил, что такой реферер как гугл никто не блочит... и много других не сильно умных патернов.

Еще поможет правильный htaccess
spoiler
# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


# Deny wp config files access

Order deny,allow
Deny from all


# Deny wp config

order allow,deny
deny from all


# Block all requests that contain the up_auto_log parameter in the query string
RewriteCond %{QUERY_STRING} up_auto_log=.+ [NC]
RewriteRule .* - [F,L]

# Deny author
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

# 5G:[QUERY STRINGS]

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (\"|%22).*(<|>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (javascript:).*(\;) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (\\|\.\./|`|=\'$|=%27$) [NC,OR]
RewriteCond %{QUERY_STRING} (\;|\'|\"|%22).*(union|select|insert|drop|update|md5|benchmark|or|and|if) [NC,OR]
RewriteCond %{QUERY_STRING} (base64_encode|localhost|mosconfig) [NC,OR]
RewriteCond %{QUERY_STRING} (boot\.ini|echo.*kae|etc/passwd) [NC,OR]
RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC]
RewriteRule .* - [F]


# 5G:[REQUEST STRINGS]

RedirectMatch 403 (https?|ftp|php)\://
RedirectMatch 403 /(https?|ima|ucp)/
RedirectMatch 403 /(Permanent|Better)$
RedirectMatch 403 (\=\\\'|\=\\%27|/\\\'/?|\)\.css\()$
RedirectMatch 403 (\,|\)\+|/\,/|\{0\}|\(/\(|\.\.\.|\+\+\+|\||\\\"\\\")
RedirectMatch 403 \.(cgi|asp|aspx|cfg|dll|exe|jsp|mdb|sql|ini|rar)$
RedirectMatch 403 /(contac|fpw|install|pingserver|register)\.php$
RedirectMatch 403 (base64|crossdomain|localhost|wwwroot|e107\_)
RedirectMatch 403 (eval\(|\_vti\_|\(null\)|echo.*kae|config\.xml)
RedirectMatch 403 \.well\-known/host\-meta
RedirectMatch 403 /function\.array\-rand
RedirectMatch 403 \)\;\$\(this\)\.html\(
RedirectMatch 403 proc/self/environ
RedirectMatch 403 msnbot\.htm\)\.\_
RedirectMatch 403 /ref\.outcontrol
RedirectMatch 403 com\_cropimage
RedirectMatch 403 indonesia\.htm
RedirectMatch 403 \{\$itemURL\}
RedirectMatch 403 function\(\)
RedirectMatch 403 labels\.rdf
RedirectMatch 403 /playing.php
RedirectMatch 403 muieblackcat


# Block access to PHP files
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

# Block wp-includes folder and files

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]


# Block 64x links
Options +FollowSymLinks -Indexes
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]

# Deny Http headers reading
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* — [F]

# Deny access to all .htaccess files

order allow,deny
deny from all
satisfy all


# Deny SQL injection
RewriteCond %{query_string} concat.*\( [NC,OR]
RewriteCond %{query_string} union.*select.*\( [NC,OR]
RewriteCond %{query_string} union.*all.*select [NC]
RewriteRule ^(.*)$ index.php [F,L]

# Deny hackers agents
SetEnvIf user-agent «Indy Library» stayout=1
SetEnvIf user-agent «libwww-perl» stayout=1
SetEnvIf user-agent «Wget» stayout=1
deny from env=stayout

#Disable site folders browsing
Options All -Indexes


p.s. когда только поставил свежий сайт, о котором никаких упоминаний нигде нету и в помине. Ставишь плагин Wordfence и смотришь, что через два часа прибегает какой-то бот с переходом с какого-то говносайта в стиле "список новых блогов".

Через пару дней уже поперли запросы wp-login и прочая фигня. Что эффективно обламывается плагином WPS Hide Login - который делает custom URL для входа в админку. А сам запрос wp-login вносим правило бана, просто по приколу.
Ответ написан
FanatPHP
@FanatPHP
Чебуратор тега PHP
Не обращать внимиания.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы