Проблема Защита от атак на сайт

Тема в разделе "Вопросы безопасности", создана пользователем Alex78, 16.09.2017.

  1. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    Добрый день, подскажите, есть ли какие-то действенные директивы или плагины может для Joomla от атак на сайт?

    Поясню ситуацию: уже недели как три ни с того ни с сего количество запросов с определенных ip адресов стало неадекватно большим (от тысячи до 46 тысяч запросов в день с одного ip). И нагрузка с них повторяется каждый день неделями, из этого я и делаю вывод об атаке. Я им прописываю запрет доступа в файле htaccess но регулярно появляются новые, уже набралось под тридцать таких ip. Поясню, что это не поисковые боты.

    Сайт вроде не взломали, но я через день налетаю на блокировку сайта из-за напрочь съеденных лимитов CPU.

    Буду признателен за ответы!
     
  2.  
  3. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
    Не использовать варез и следит за обновлениями установленных расширений. У хостера, ли на твоем серере должен быть подключен и настроен ModSecurityi Apashe
     
  4. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    у хостера (reg.ru) и DDoS-GUARD для всех якобы работает но что-то меня это не спасло. Да вроде все обновлено, все ставилось лигитимно

    вроде скрипты есть какие-то ограничивающие количество обращений с одного ip в определенную единицу времени..

    сейчас хостер конкретизировал новость, тип атаки в моем случае «HTTP flood» и «HTTPS flood»
     
    Последнее редактирование: 16.09.2017
  5. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
  6. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    Спасибо, можно уточнение, просто в этом не разбираюсь - я скачал, там зиповская папка, мне надо извлечь все файлы и через админку сайта или панель ISP Manager их куда-то вставить?, или саму папку куда-то вставить? на самом сайте по плагину не нашел что с ним делать(

    И уточнение, он не будет исключать работу поисковых роботов Yandex и Google?

    Спасибо
     
  7. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
    Установи через стандартную установку. В параметрах плагина включить бан.
     
  8. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    Спасибо большое, установил и включил плагин.

    А в инструкции к нему есть рекомендация еще директиву прописать в файл htaccess якобы она блокирует запросы вне контроля управления joomla (не берусь за точность перевода), вот цитата:

    An useful addition
    Not all hacks pass through the framework of joomla: the jce editor docet!
    So you can add this code to your .htaccess file, paste it just after "RewriteEngine On" :

    RewriteCond %{REQUEST_URI} ^/images/ [NC,OR]
    RewriteCond %{REQUEST_URI} ^/media/ [NC,OR]
    RewriteCond %{REQUEST_URI} ^/logs/ [NC,OR]
    RewriteCond %{REQUEST_URI} ^/tmp/
    RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]

    This code will block all attempts to run scripts outside the joomla control. May be you have to add other paths depending on components installed.

    Надо её добавить в htaccess?, и если да, то прямо так - в квадратные скобки никаких значений, цифр не подставлять?

    Спасибо большое!
     
  9. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
    Последнее редактирование: 17.09.2017
  10. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    Да, спасибо большое, директиву пропишу, Admin Tools сейчас сяду изучать. Результат будет понятен завтра после статистики сегодня.
     
    Последнее редактирование: 17.09.2017
  11. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
    Можно и сразу смотреть список забанненных IP в таблице БД #__mi_iptable ,если включил временный бан в плагине .
     
  12. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    Добрый день, не спас меня Marco's SQL Injection - LFI protection, не останавливал он шквал запросов к сайту.

    Или может я криво что-то установил, можно уточнить, включить в настройках бан - это в менеджере плагинов установить состояние плагину "включено" (зеленая галочка)?, что я и сделал, больше никуда не лез. Или может в самом плагине надо было еще выставить какие-то параметры? Там ничего не трогал, сейчас там:

    Works on Front End only - Yes
    NameSpaces inspected - Get, Post, Request
    Ignored Extension - пусто
    Send Email Alert on injection/inclusion - No
    Raise Error on Fault - No
    Http Error Message -500
    Http Error Message - Internal Server Error
    LFI check only on canonical - No
    Max number of consecutive - 2
    Enable temporary IP block - No
    Seconds to hold ip banned - 300
    Max hacks attempt - 3

    Спасибо за ответ!
     
  13. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
    Yes.
    9999999
    1
     
  14. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    Оооо, значит я его не настроил( три параметра изменил, спасибо, буду смотреть результат!
     
  15. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
    Ну если ты прописал свой эмэйл в плагине, то обычно почтовик полон писем о попытках взлома. Вообще организация атаки не дешевое действие, если не варез на сайте.
     
  16. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    А у меня как-то наоборот веселее - я прописал как раз почту в плагине (посмотреть немного что творится) и ничего не приходит, а в логах шквал предупреждений:

    [Mon Sep 18 20:34:40 2017][warn][client 104.144.180.220] mod_fcgid: stderr: PHP Notice: Trying to get property of non-object in /var/www/u0387784/data/www/for-results.ru/plugins/system/zo2/libraries/layout.php on line 92, referer: http://for-results.ru/index.php/component/users/?view=registration
    [Mon Sep 18 20:34:45 2017][warn][client 192.126.168.33] mod_fcgid: stderr: PHP Notice: Trying to get property of non-object in /var/www/u0387784/data/www/for-results.ru/plugins/system/zo2/libraries/layout.php on line 92, referer: http://for-results.ru/index.php/component/users/profile
    [Mon Sep 18 20:34:45 2017][warn][client 192.126.168.33] mod_fcgid: stderr: PHP Notice: Trying to get property of non-object in /var/www/u0387784/data/www/for-results.ru/plugins/system/zo2/libraries/layout.php on line 92, referer: http://for-results.ru/index.php
    [Mon Sep 18 20:34:46 2017][warn][client 192.241.105.142] mod_fcgid: stderr: PHP Notice: Trying to get property of non-object in /var/www/u0387784/data/www/for-results.ru/plugins/user/k2/k2.php on line 149, referer: http://for-results.ru/index.php/ru/your-profile/profile?layout=edit

    причем по ip которые меня до этого штурмовали,

    а ошибки только по ip которые были до этого прописаны в htaccess (тоже на почту указанную в плагине не пришли):

    [Mon Sep 18 20:35:30 2017][error][client 146.185.223.113] client denied by server configuration: /var/www/u0387784/data/www/for-results.ru/index.php
    [Mon Sep 18 20:35:30 2017][error][client 146.185.223.113] client denied by server configuration: /var/www/u0387784/data/www/for-results.ru/index.php
    [Mon Sep 18 20:35:30 2017][error][client 146.185.223.113] client denied by server configuration: /var/www/u0387784/data/www/for-results.ru/index.php

    Подразумеваю, что не отсекает ip плагин, вот вижу ip 192... который мне вчера 3000 запросов набил, каждую секунду ломится:

    192.241.76.26 - - [18/Sep/2017:21:34:08 +0300] "GET /index.php/ru/your-profile/profile HTTP/1.0" 200 9962 "http://for-results.ru/index.php/ru/component/users?view=login" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
    23.19.34.76 - - [18/Sep/2017:21:34:09 +0300] "GET /index.php/ru/your-profile/profile?layout=edit HTTP/1.0" 200 12891 "http://for-results.ru/index.php/ru/component/users/?task=profile.edit&user_id=54820" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.104 Safari/537.36"
    192.241.76.26 - - [18/Sep/2017:21:34:10 +0300] "GET /index.php/component/users/profile HTTP/1.0" 303 - "http://for-results.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
    23.19.34.76 - - [18/Sep/2017:21:34:11 +0300] "GET /index.php/component/users/profile HTTP/1.0" 303 - "http://for-results.ru/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.104 Safari/537.36"
    192.241.76.26 - - [18/Sep/2017:21:34:11 +0300] "GET /index.php/ru/component/users/profile HTTP/1.0" 200 2986 "http://for-results.ru/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.95 Safari/537.36"
     
    Последнее редактирование: 18.09.2017
  17. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
    Просини можно прятать под спойлео. А что за плагин plugins/system/zo2 ?
    Это не попытки взлома, на которые заточен плагин Марко. Закрой доступ к компоненту component/users. Установи
    Admin Tools
     
  18. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    День добрый, сел разбираться, начиная с плагина - Zo2 Framework - Template Framework for Joomla 3 - на сколько я понял шаблоны, картинки, компоненты - http://www.zootemplate.com/news-updates/zo2-framework-joomla-3-x-version-1-0-released

    я его отключили и еще нашел Button - Zo2Shortcodes, тоже отключили, вроди сайт открывается (из админпанели так как заблокирован) наверно правильно?

    Закрыть доступ к компоненты component/users - это я так понимаю в Менеджере пользователей запретить регистрацию пользователей? Там везде нет поставил, сделал.
    Может еще этот плагин поставить?, ECC+ - EasyCalcCheck Plus https://joomla-extensions.kubik-rubik.de/ecc-easycalccheck-plus он я так понял как раз для этого
     
    Последнее редактирование: 19.09.2017
  19. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
    Нужно закрыть прямой доступ к файлам сайта в .htaccess , а судя по уровню твоих вопросов, я и посоветовал установить Admin Tools . Даже если отключена регистрация в админке Джумла, ничто не ограничивает запросы к файлам. Я думаю что когда боты будут откинуты(Дроп) , то со временем атаки прекратятся .
     
  20. Offline

    Alex78 Недавно здесь

    Регистрация:
    13.06.2017
    Сообщения:
    19
    Симпатии:
    0
    Пол:
    Мужской
    я понял, в htaccess ip прописывать как deny from, а вычислять их через Admin Tools

    А плагин поставить ECC+ - EasyCalcCheck Plus https://joomla-extensions.kubik-rubik.de/ecc-easycalccheck-plus или он роли не сыграет? или какой-то другой?
     
    Последнее редактирование: 19.09.2017
  21. OlegK
    Offline

    OlegK Russian Joomla! Team Команда форума ⇒ Профи ⇐

    Регистрация:
    17.01.2011
    Сообщения:
    7 812
    Симпатии:
    771
    Пол:
    Мужской
    нет. да.
     

Поделиться этой страницей

Загрузка...