Что за запрос на сервере?

Question

[Алексей]

На сайт, все время долбится один и тот же IP и плагин считает его запрос попыткой взлома, я, как ни странно, с ним согласен. Моих знаний на данный момент не хватает разобраться с конструкцией его запроса:
"/index.php?s=/Index/thinkapp/invokefuncti(...)rray&vars[0]=md5&vars[1][]=HelloThinkPHP"
Не могли бы вы пояснить мне:
1. Это он пытается залить на сайт какой-то код?
2. Это он пытается запустить код с сайта? ThinkPHP - не установлен
3. ThinkPHP - что это?! Гугля толково информацию дать не может, я понял только, что это фреймворк. Его надо устанавливать? (скорее всего нет) Где его брать? Как им пользоваться?
4. Что правильнее сделать, с этим назойливым абонентом?
5. И расскажите, что пытается сделать эта строка и как себя обезопасить?

Answer 1

[Александр]

Не соглашусь про "по факту ничего нельзя сделать" и "не обращать внимания".

Плагин Wordfence в нем прописываются все за*бистые запросы в стиле:

/backup.sql.gz
/backup.gz
/directory.zip
/directory.gz
/backup.tar.gz
/wp-info.php
/public_html.zip
/login.php
/backup.sql.zip
/installer-backup.php
/readme.txt
/clipboard.min.js
/_config.cache.php
/?author=1
/cmd.php
/author=1
/unzipper.php
/unzip.php
/replace.php
/index.php
/options.php
//options.php
/xmlrpc.php
/phpminiadmin.php
/plugin.min.js

При повторе подобных команд, запросов - автоматический бан.
Особо настырных смотрим по IP здесь



И вносим в бан:


Тут главное не переборщить, если с того пула адресов ходять клиенты - не дойдут :)

2. Это он пытается запустить код с сайта? ThinkPHP - не установлен

Да, у чудо бота есть набор прописанных сильно умным человеком, уязвимостей. Боты в некой мере хаотично бегают по сайтах и долбят что попало.
Они приходят и с серверов Microsoft :) Alibaba, GoDaddy.

Порой боты имитируют, что пришли с Google.com, потому что какой-то придур решил, что такой реферер как гугл никто не блочит... и много других не сильно умных патернов.

Еще поможет правильный htaccess

spoiler

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


# Deny wp config files access

Order deny,allow
Deny from all


# Deny wp config

order allow,deny
deny from all


# Block all requests that contain the up_auto_log parameter in the query string
RewriteCond %{QUERY_STRING} up_auto_log=.+ [NC]
RewriteRule .* - [F,L]

# Deny author
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

# 5G:[QUERY STRINGS]

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (\"|%22).*(<|>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (javascript:).*(\;) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3) [NC,OR]
RewriteCond %{QUERY_STRING} (\\|\.\./|`|=\'$|=%27$) [NC,OR]
RewriteCond %{QUERY_STRING} (\;|\'|\"|%22).*(union|select|insert|drop|update|md5|benchmark|or|and|if) [NC,OR]
RewriteCond %{QUERY_STRING} (base64_encode|localhost|mosconfig) [NC,OR]
RewriteCond %{QUERY_STRING} (boot\.ini|echo.*kae|etc/passwd) [NC,OR]
RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC]
RewriteRule .* - [F]


# 5G:[REQUEST STRINGS]

RedirectMatch 403 (https?|ftp|php)\://
RedirectMatch 403 /(https?|ima|ucp)/
RedirectMatch 403 /(Permanent|Better)$
RedirectMatch 403 (\=\\\'|\=\\%27|/\\\'/?|\)\.css\()$
RedirectMatch 403 (\,|\)\+|/\,/|\{0\}|\(/\(|\.\.\.|\+\+\+|\||\\\"\\\")
RedirectMatch 403 \.(cgi|asp|aspx|cfg|dll|exe|jsp|mdb|sql|ini|rar)$
RedirectMatch 403 /(contac|fpw|install|pingserver|register)\.php$
RedirectMatch 403 (base64|crossdomain|localhost|wwwroot|e107\_)
RedirectMatch 403 (eval\(|\_vti\_|\(null\)|echo.*kae|config\.xml)
RedirectMatch 403 \.well\-known/host\-meta
RedirectMatch 403 /function\.array\-rand
RedirectMatch 403 \)\;\$\(this\)\.html\(
RedirectMatch 403 proc/self/environ
RedirectMatch 403 msnbot\.htm\)\.\_
RedirectMatch 403 /ref\.outcontrol
RedirectMatch 403 com\_cropimage
RedirectMatch 403 indonesia\.htm
RedirectMatch 403 \{\$itemURL\}
RedirectMatch 403 function\(\)
RedirectMatch 403 labels\.rdf
RedirectMatch 403 /playing.php
RedirectMatch 403 muieblackcat


# Block access to PHP files
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

# Block wp-includes folder and files

RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]


# Block 64x links
Options +FollowSymLinks -Indexes
RewriteCond %{QUERY_STRING} base64_encode[^(]*\([^)]*\) [OR]
RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]

# Deny Http headers reading
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* — [F]

# Deny access to all .htaccess files

order allow,deny
deny from all
satisfy all


# Deny SQL injection
RewriteCond %{query_string} concat.*\( [NC,OR]
RewriteCond %{query_string} union.*select.*\( [NC,OR]
RewriteCond %{query_string} union.*all.*select [NC]
RewriteRule ^(.*)$ index.php [F,L]

# Deny hackers agents
SetEnvIf user-agent «Indy Library» stayout=1
SetEnvIf user-agent «libwww-perl» stayout=1
SetEnvIf user-agent «Wget» stayout=1
deny from env=stayout

#Disable site folders browsing
Options All -Indexes

p.s. когда только поставил свежий сайт, о котором никаких упоминаний нигде нету и в помине. Ставишь плагин Wordfence и смотришь, что через два часа прибегает какой-то бот с переходом с какого-то говносайта в стиле "список новых блогов".

Через пару дней уже поперли запросы wp-login и прочая фигня. Что эффективно обламывается плагином WPS Hide Login - который делает custom URL для входа в админку. А сам запрос wp-login вносим правило бана, просто по приколу.

Comments

[Алексей]

Плагин Wordfence в нем прописываются все за*бистые запросы в стиле:

вот этот пункт я не совсем понял (( но надеюсь разберусь.

htaccess:

# BEGIN WordPress
RewriteEngine On
RewriteBase /

# Block wp-includes folder and files
RewriteEngine On
RewriteBase /

У Вас в htaccess несколько раз объявляется - RewriteEngine - это нормально? а то я у себя только один раз в начале файла объявил и все )
Кстати мой htaccess не сильно, но похож на Ваш.

wp-login я убрал сразу (изменил страницу авторизации в консоль), а тех кто ломится на wp-admin - отправляю на главную

Блокировку IP я делаю через htacces а не Wordfence - это корректно?

P.S. Спасибо за подробный ответ. Вы можно сказать единственный кто ответил более менее внятно.

[Игорь Воротнёв]

Проблема в том, что Wordfence - какашка которая тормозит и засоряет сайт. Фаерволить на уровне PHP+MySQL - одна из худших идей из всех возможных. Учитывая что такой спам-трафик не особо большой, ИМХО пусть лучше он будет, нагрузка от него минимальна и не влияет на скорость загрузки страниц для обычных пользователей. В отличие от Wordfence, который сует свой нос в каждый запрос и накидывает свой неадекватный overhead.

[Александр]

Игорь Воротнёв, у меня конечно очень мало опыта в этом. Но началось все с попыток взлома, потом пошли попытки проднижения сайта (пачками заходят с разных айпи и сидят на сайте 35-45сек)... Все это вылечилось именно юзая Wordfence.
Касаемо проднижения - я отдал все посадочные (их 130шт) в бан лист, тем самим не дав возможности посидеть на них 35секунд и так много раз за день и месяц подряд.
То же самое с баном по подсетям - я реализовывал это через htaccess вначале (ну что нагуглил то и юзал). Когда бан лист вырос до 100шт IP - вот тогда сайт начал тормозить и лагать.

Потом попробовал один плагин, который просто повешал сайт к чертям. А вот Wordfence пошел как дети в школу. Да, он имеет баг в плане SEO - начали появляться URL-ы которые проиндексировал гугл и кот.имеют отношения к плагину (крякозябры какие-то). Но это правится удалением ссылок через консоль гугла.

(И да, разрабы этого плагина на форуме WP разводили руками и не понимали о чем я и лепили горбатого. Здесь, на форуме кстати, тоже лепили, что те URL-ы которые нагенерил плагин, это клики рекламы Google Ads. Но нет, это баг плагина, который особо не мешает продвигать сайт в топ).

Других нареканий за год пользования - нету. Сайт грузится 2-3сек.
Да, наверняка есть куча подходов как сделать лучше. Но для сайта частной коммерции на shared wordpress hosting - это самый короткий путь решения ряда проблем.

[Александр]

AlexeyKolodchenko,

У Вас в htaccess несколько раз объявляется - RewriteEngine - это нормально?

Могу ошибаться, но сдается мне - что в итоге это воспринимается как одна команда. Но да, нужно поправить. Спасибо.

Блокировку IP я делаю через htacces а не Wordfence - это корректно?

Делал, устал. Очень муторно, если много дуралеев что-то хотят от сайта. Плагином проще. Да и у меня htaccess от таких действий начал тормозить сайт. С плагином полет вообще нормальный в этом плане.

P.S. Спасибо за подробный ответ. Вы можно сказать единственный кто ответил более менее внятно.

Всегда пожалуйста. Если нужно подробнее об Wordfence - в Telegram найдете

spoiler

@isidisweb

Обьясню как это все бегает без проблем.

[Игорь Воротнёв]

Александр,

Но для сайта частной коммерции на shared wordpress hosting - это самый короткий путь решения ряда проблем.

Самый короткий путь решения этих проблем - не использовать для коммерции на WordPress shared hosting. Есть специализированные (Kinsta, WP Engine), есть VPS. Стоит это все адекватных денег. Геморроя меньше. Работает быстрее. Большая часть ваших проблем изначально существуют из-за того что вы на шареде.

Сайт грузится 2-3сек.

2-3 секунды это что за метрика? TTI? TTFB? На каком устройстве? На какой сети? Из какой локации? Что это за цифры?

Все остальное о чем вы написали - какая-то сеошная черная магия, вуду-технологии и шаманские ритуалы. Проднижение, сапе и тому подобное - это какая-то весьма специфичная ниша, которая явно существует - значит кому-то это надо - но при этом вызывает больше вопросов чем ответов. Лезть туда не планирую, сорян.

Если кратко - все эти блокировки и прочее нужно стараться делать в таком порядке:

- сторонний сервис типа CloudFlare, через который трафик идет на сайт. Позволяет качественно фильтровать мусор еще до того, как он дойдет к вашему серверу.
- файрвол на уровне сети/системы (тот же UFW, Fail2Ban и тд)
- веб-сервер (Nginx, Apache и тд)

99% вредного/левого/спам трафика должно быть отфильтровано на этих этапах. До PHP такие запросы не должны доходить, ибо делать фильтрацию на уровне PHP - дорого. А тем более если эта фильтрация требует запросов к БД. И еще не дай бог будут записи в БД (а на шареде Wordfence логи в базу точно будет писать во время самого запроса, ибо асинхронности там не предусмотрено).

То же самое с баном по подсетям - я реализовывал это через htaccess вначале (ну что нагуглил то и юзал). Когда бан лист вырос до 100шт IP - вот тогда сайт начал тормозить и лагать.

У меня на одном из серверов в конфиге Nginx бан-лист на несколько тысяч строк + более 3 тысяч редиректов, часть из которых - по регулярным выражениям. И оно выполняется Nginx'ом быстрее, чем запускается PHP-движок. А сервер этот - самый дешевый дроплет на Digital Ocean, за $5. Точно знаю про крупные сервисы у которых банлисты на порядки больше моего. Так что тут дело скорее всего в вашем конфиге + в дерьмовом shared хостинге, который на такие вещи не заточен от слова совсем.

[Александр]

Игорь Воротнёв, Игорь Воротнёв,

. Есть специализированные (Kinsta, WP Engine), есть VPS. Стоит это все адекватных денег. Геморроя меньше. Р

Нет, это не стоит 18 евро в год 10гб
Геммороя нету, представляете?

2-3 секунды это что за метрика? TTI? TTFB? На каком устройстве? На какой сети? Из какой локации? Что это за цифры?

Другими словами, сайт клиенты не покидают, из-за проблем с загрузкой. Поверите на слово? Или заморочиться на метрику? )))

Проднижение, сапе и тому подобное - это какая-то весьма специфичная ниша, которая явно существует - значит кому-то это надо - но при этом вызывает больше вопросов чем ответов. Лезть туда не планирую, сорян.

Хотелось бы больше внимания к простым предложениям. Я не лезу в черное СЕО, я подозреваю, что сайт стал его объектом.

Если кратко - все эти блокировки и прочее нужно стараться делать в таком порядке:

На сloudfare еще денег нужно. Все это работает на share wp hosting, как бы вы не настаивали, что это не вариант ;)
2 года как вариант. Топ3

99% вредного/левого/спам трафика должно быть отфильтровано на этих этапах. До PHP такие запросы не должны доходить, ибо делать фильтрацию на уровне PHP - дорого. А тем более если эта фильтрация требует запросов к БД. И еще не дай бог будут записи в БД

Кгм, вы безусловно правы. С технической точки зрения оптимизации.
Но еще раз - 18евро за хостинг в год, +мое время = топ 3 = реальные клиенты.

Если бы все как вы пишете - было ну просто неминуемо, сайт бы 2года не проторчал в топке. Это логично? ;)

[Игорь Воротнёв]

Александр,

Это логично?

Нет, абсолютно. СЕО немножко не так работает - тут миллион факторов. И отследить реальное влияние одного конкретного фактора при том что делали вы много чего за все это время не представляется возможным. Вы в целом говорите о результатах своих усилий - и результаты хорошие, никто не спорит. Я лишь говорю, что мельниц, с которыми вы боретесь, может и не быть вовсе. Ваш шаред стоит 18 евро в год, но вы не считаете стоимость своего времени. CloudFlare вам и бесплатного хватит, базовый дроплет за $5 тоже вам норм подойдет - это 60 долларов в год. Для коммерческого проекта это ни о чем. Ну и разница с вашим шаредом всего в 40 долларов в год. Почему-то мне кажется что вы на ковыряние в апачевских конфигах и чтение доки своего времени потратили значительно больше, чем на 40 долларов.

Answer 2

[FanatPHP]

Не обращать внимиания.

Comments

[Алексей]

Хороший ответ, главное многое объясняющий. Мне хочется разобраться, а поисковик не дает полноценного ответа, поэтому обратился напрямую к людям.

[Алексей]

Dr. Bacon, это реальный человек ) и хочется понять чего он добивается

[Stalker_RED]

AlexeyKolodchenko, откуда вы знаете, что реальный, а не бот? Может у этого реального банально вирус на компе.

А вообще, ставтье брейкпоинт в начале index.php и проверяйте, обрабатывается ли у вас параметр "s"
Может у вас залит бекдор, а вы даже не в курсе.

[FanatPHP]

Откуда такая фантазия, что это "реальный человек"?

[Алексей]

FanatPHP, Win 10 x64 GoogleCrome, IP - провайдера из Питера. Ломится дня четыре уже с одного и того же IP. Мало вероятно, что бот будет усердно ломиться на один и тот же IP в течение нескольких дней.

[Алексей]

Stalker_RED, AI-BOLIT сказал, что все хорошо )

[Stalker_RED]

AlexeyKolodchenko,

Мало вероятно, что бот будет усердно ломиться на один и тот же IP в течение нескольких дней

охтыгоспаде. в мире всего 4 лярда ipv4 адресов. На многих из них нет компьютера или они не отвечают по восьмидесятому порту. Перебирая по 50 штук в секунду можно запросто опрашивать ВСЕ СЕРВЕРА В МИРЕ несколько раз в сутки. Боты такие, они не устают.