Попытки залогинитьcя в АТЛ под user/pass

Тема: Попытки залогинитьcя в АТЛ под user/pass

цитата
07/03/08 в 21:36

penelo
У кого-нить были?
203.117.111.106 tried to login with user / pass.
на всех рабочих сиджах сегодня 2 раза пытался, пока безуспешно....

Последний раз редактировалось: penelo (08/03/08 в 01:13), всего редактировалось 1 раз

цитата
07/03/08 в 21:59

Renegat
Есть такое
12:32 - 05 Mar 203.117.111.106 tried to login with user / pass.
12:21 - 05 Mar 203.117.111.106 tried to login with user / pass.

У меня еще в феврале этот 4 раза пытался
23:51 - 20 Feb 195.5.116.250 tried to login with user / pass.
13:48 - 19 Feb 195.5.116.250 tried to login with user / pass.

цитата
07/03/08 в 23:17

penelo
У меня с этого 195.5.116.250 только 1 раз на 1 сидже, радует только то что пока безуспешно....

цитата
07/03/08 в 23:23

Kitaa
У меня этот адрес в фаерволе прописан 195.5.116.250 С него постояннно попытки взлома шли.

цитата
07/03/08 в 23:58

penelo
Как они зае#али...

цитата
08/03/08 в 18:58

Nikit@
http://whois.domaintools.com/195.5.116.250

соотечественники мля =)

цитата
10/03/08 в 11:49

Next
та же херня на сиджах
06:28 - 05 Mar 203.117.111.106 tried to login with user / pass.
06:04 - 05 Mar 203.117.111.106 tried to login with user / pass.
19:16 - 08 Mar 203.117.111.106 tried to login with user / pass.
19:01 - 08 Mar 203.117.111.106 tried to login with user / pass.

дык, еще что интересно доступ к admin.cgi закрыт не для моих ip-ов... есть у кого-то по этому поводу мысли?

цитата
10/03/08 в 11:56

dDan
SOCKS Троян на твоей машине

цитата
10/03/08 в 12:28

penelo
NeXt: у меня все открыто было, только позавчера доступ к x2 позакрывал...

dDan: А нельзя ли по-подробнее?

цитата
10/03/08 в 13:46

Next
так и у меня все что можно закрыто было формы, х2, admin (htaccesом), один хуй в админку пытались зайти...

цитата
10/03/08 в 13:52

INTELigent
dDan писал:

SOCKS Троян на твоей машине

Не троян это, а бот гуляет по сиджам и простукивает, бот того идиота, кто сиджы последнее время ломает на ат3

цитата
10/03/08 в 13:54

penelo
INTELigent: Фуф, успокоил, а я решил уже антивирус менять...

цитата
11/03/08 в 10:21

Project
Аналогично:

19:49 - 24 Feb 195.5.116.250 tried to login with user / pass.

06:33 - 05 Mar 203.117.111.106 tried to login with user / pass.
06:24 - 05 Mar 203.117.111.106 tried to login with user / pass.
05:48 - 05 Mar 203.117.111.106 tried to login with user / pass.

19:20 - 08 Mar 203.117.111.106 tried to login with user / pass.
19:12 - 08 Mar 203.117.111.106 tried to login with user / pass.

Упорный сцуко мудило...

цитата
11/03/08 в 12:25

Next
Ахтунг!!

У кого были попытки залогинится проверьте в админке хтмл код страницы c security log на наличие такой зашифрованой гадости Код:

вот расшифрованый вид
Код:

в общем такая вот хрень грузится в ифрейме в админке... я в программинге не силен.. кто знает дайте коменты!

цитата
11/03/08 в 12:45

Project
NeXt писал:

Ахтунг!!

У кого были попытки залогинится проверьте в админке хтмл код страницы c security log на наличие такой зашифрованой гадости Код:

вот расшифрованый вид
Код:

в общем такая вот хрень грузится в ифрейме в админке... я в программинге не силен.. кто знает дайте коменты!

Подтверждаю!!! Спасибо NeXt что подсказал!!!
Была аналогичная шляпа!

цитата
11/03/08 в 13:22

saaas
как это удалить нах??
и как сделать чтобы небыло этого?

цитата
11/03/08 в 13:33

Project

Удалить - просто почистить логи...
А вот как сделать чтобы небыло... - вот тут х.з...
Если уж и хтакцессом закрывали и еще что-то...
И все-равно этот мудила проникает в админку...

цитата
11/03/08 в 14:04

Kitaa
Там какойто хитрый запрос идет к кукам обращается. Походу он проканывает если кто то в админке золгенен. Там по любому не просто так хотел в админку под user/pass попасть. Мне mod_security для апач помог.
Могу лог mod_security с его запросом показать комунибуть из местных программеров.

цитата
11/03/08 в 14:26

Soft-Com
скинь плс логу

цитата
11/03/08 в 15:59

Soft-Com
то что вы прикрываете сам скрипт admin.cgi - абсолютно по барабану, т.к. можно авторизоваться через login.cgi передав ему необходимые параметры(user=USER&pass=PASS методом POST), и преспокойно редактировать статсы/параметры/и т.д./и т.п. через все остальные скрипты (x2.cgi, rХ.cgi, и т.д.) точно также передавая необходимые параметры.

так что нужно параллельно прикрывать login.cgi дополнительно типа так:

<Files login.cgi>
order deny,allow
deny from all
allow from IP
</Files>

цитата
11/03/08 в 16:49

Project

Дружище, подскажи как можно разрешить доступ к файлу по маске IP? Т.к. IP динамический, нельзя доступ разрешить одному определенному IP...

цитата
11/03/08 в 16:55

Soft-Com
поправлюсь пока никто не заметил:

<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from IP
</FilesMatch>

цитата
11/03/08 в 16:59

Soft-Com
Цитата:

Дружище, подскажи как можно разрешить доступ к файлу по маске IP? Т.к. IP динамический, нельзя доступ разрешить одному определенному IP...icon_sad.gif

лучше всего через DynDNS прописать себе хоть какое-то доменное имя, и его добавить в хтаксес
а иначе:

<FilesMatch "(admin|x2|login)\.cgi">
Order Deny,Allow
Deny from All
Allow from NET/MASK (например 195.5.6.0/24)
</FilesMatch>

цитата
11/03/08 в 17:03

Next
x2 и login так не закроешь одним файлом, они в другой папке лежат в отличие от admin, ну и наоборот ))

+1 тоже интересно как разрешить доступ только по маске, например 172.16.*.*.

цитата
11/03/08 в 17:09

Soft-Com
Цитата:

x2 и login так не закроешь одним файлом, они в другой папке лежат в отличие от admin, ну и наоборот ))

всё нормально закроешь

Стр. 1, 2, 3, 4, 5 > последняя »

Новая тема Ответить

Эта страница в полной версии