LINUX.ORG.RU
ФорумWeb-development

Наказать взломщика сайтов

 , , , ,


0

1

Привет! Подскажите способы наказать взломщика сайтов. У меня есть список файлов к которым подключается взломщик, но которых у меня нет на сайте. Хочу сделать нагрузку проца и оперативки на его устройстве через php файлы которые у меня на сайте. Он пользуется, то VPN то прокси, то вообще ни чем, так что я понял откуда идёт атака. Хочется заблокировать его аппарат)))

  2342	 - - [14/Jan/2025:22:06:50 +0300] "GET /about.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2344	 - - [14/Jan/2025:22:06:54 +0300] "GET /theme.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2346	 - - [14/Jan/2025:22:06:59 +0300] "GET /shell.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2348	 - - [14/Jan/2025:22:07:09 +0300] "GET /ws.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2350	 - - [14/Jan/2025:22:07:21 +0300] "GET /wso112233.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2352	 - - [14/Jan/2025:22:07:24 +0300] "GET /alfanew.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2354	 - - [14/Jan/2025:22:07:31 +0300] "GET /fw.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2355	 - - [14/Jan/2025:22:07:35 +0300] "GET /style.php HTTP/1.1" 302 - 771 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"```
on blur Препятствует получению событий другими
SQL структура хранения для выпадающего меню

спешу тебя огорчить, это не «взломщик», а боты сканируют, и вряд ли они будут исполнять жабоскрипт код, который ты им подсунешь.

просто забей, они безобидные.

ann_eesti
()

Вычисли его по айпи, а потом приди к нему домой и отлупи, как Джей и Молчаливый Боб.

MrJohnDoe
()

На каждый такой запрос отдавать 10 гиг данных рандомных, а можно и просто нули.

anonymous
()

Оооооочень медленно отдавать ему содержимое /dev/random.

anonymous
()

медленно отдавай ему тексты песен надежды бабкиной. пусть сдохнет

alysnix ★★★
()
Ответ на: комментарий от ann_eesti

Но всё же. Когда этот бот отсканирует и пришлёт «взломщику» ответ, что файл существует, то когда он зайдёт, через js или что-нибудь ещё устрою ему праздник))

Или вообще поиздеваться и сделать интерфейс wso.php, но только функции будут делать фейковые операции

Надоели они. Работать не дают…

SaintAnd
() автор топика
Последнее исправление: SaintAnd (всего исправлений: 1)
Ответ на: комментарий от SaintAnd

то когда он зайдёт, через js или что-нибудь ещё устрою ему праздник))

Не хотелось бы вас расстраивать, но боты в автоматическом режиме ищут цели и тестируют на них предопределенный набор способов взлома. Никто ручками к вам в машину не полезет.

anonymous
()

Выброси эту идею из головы раз и навсегда. Никаких разумных способов наказать ботов не существует.

Ты не о том думаешь. Задумайся лучше о том, почему боты лезут к тебе на сайт. Лучшее что ты можешь сделать, так это прикрыть свой сайт например за Claudflare. Боты перестанут тебя донимать, логи будут чистыми, а волосы мягкими и шелковистыми.

ilinsky ★★★★★
()

-j TARPIT --tarpit на диапазон адресов. Пусть кукует. И желательно вообще дропать траффик по geoip из Восточной Европы и Юго-Западной Азии.

anonymous
()
Ответ на: комментарий от anonymous

Лучше определить белый список AS с которых лояльные подключения идут и разрешить подключения только с них.

guyvernk
()

используй клауд, он отсеивает половину ботов. боты на твой сайт на вротпрессе отправляют запросы, а потом проверяют создались ли шеллы и все.

rtxtxtrx ★★★
()

Добро пожаловать в веб. Привыкай.

Ничего ты этим ботам не сделаешь — владельцы этих устройств скорее всего даже не знают, что они часть ботнета. Никакие JS они не будут исполнять. Максимум, что ты можешь сделать, это узнать IP и заддосить ни в чём (кроме тупости и забивания на элементарную безопасность) хомячка.

В общем забей. Это норма. Чтобы логи были почище, можно, в принципе, попробовать вносить IP, которые запрашивают конкретные несуществующие /*.php, в списочек и дропать их коннекты сразу. Но это малоэффективно — они всё равно будут всегда новые появляться.

CrX ★★★★★
()

Да, «наказать взломщика» своими руками - это поднять себе статью. Будь аккуратнее с желаниями.

LongLiveUbuntu ★★★★★
()

файлов нет, а веб-сервер 200 отвечает

zudwa
()
Ответ на: комментарий от guyvernk 
root@rock-3a:~# ls -ln /var/log/apache2/
total 112
-rw-r----- 1 0 4      0 Jan 17 02:30 access.log
-rw-r----- 1 0 4      0 Jan 17 02:30 error.log
-rw-r----- 1 0 4 108468 Jan 17 10:09 other_vhosts_access.log

root@OpenWrt:~# nft list table inet banIP |wc -l
3737

вайтлисты АС и никакого левого трафика

guyvernk
()
Ответ на: комментарий от vbcnthfkmnth123

Боты по любым открытым портам могут ломиться, ssh здесь причем? Ну и если на то пошло для ssh проще разрешить доступ только с опреленного IP адреса/подсети.

pavel_l
()
Ответ на: комментарий от pavel_l

Притом что в той же убунте ssh сервер запущен по дефолту. В некоторых версиях там был даже предустановленный дефолтный пароль.

vbcnthfkmnth123 ★★★★★
()
Ответ на: комментарий от vbcnthfkmnth123

Вот это маняистории. Пруфцов не будет, да?

anonymous
()
Ответ на: комментарий от pavel_l

Да, верно. Боты лезут на веб, а не на ssh

SaintAnd
() автор топика
Ответ на: комментарий от LongLiveUbuntu

«Наказать» - имею ввиду, что любопытный зайдёт на страницу wso.php где его машина будет интенсивно работать. Не вижу тут статей, т.к. никто ни к чему не принуждает

SaintAnd
() автор топика
Ответ на: комментарий от pavel_l

Дело в том, что уже на добрую пару сотен сайтов вирус пробрался, поэтому вычищаю сайты от его последствий, вместо нормальной работы. Вот что значит «работать не дают»

SaintAnd
() автор топика
Последнее исправление: SaintAnd (всего исправлений: 1)
Ответ на: комментарий от SaintAnd

«Наказать» - имею ввиду, что любопытный зайдёт на страницу wso.php где его машина будет интенсивно работать

PHP исполняется на хосте, а не на клиенте. Как ты собираешься добиться какой-то интенсивной работы? Ну можешь отдать пару терабайт из /dev/urandom разве что. Но скорее всего он всё равно оборвёт соединение после какого-то объёма. JS твой они исполнять точно не будут.

CrX ★★★★★
()
Ответ на: комментарий от SaintAnd

Дело в том, что уже на добрую пару сотен сайтов вирус пробрался, поэтому вычищаю сайты от его последствий, вместо нормальной работы. Вот что значит «работать не дают»

Так это себя надо наказывать за то, что дырки в безопасности устроил. От того, что они просто долбятся, если всё настроено правильно, никакой вирус никуда не пробирается.

CrX ★★★★★
()
Ответ на: комментарий от CrX

Так это себя надо наказывать за то, что дырки в безопасности устроил

Ты не прав. Уязвимостей много и все их сложно отследить даже если они выложены на exploit-db. Claudflare - это тоже не панацея

SaintAnd
() автор топика
Ответ на: комментарий от SaintAnd

Ты не прав

Как скажешь ¯\_(ツ)_/¯ пусть будет не прав. Однако, на мои сайты несмотря на все эти долбления ботов никакие «вирусы» не «пробираются». И пожалуй, я лучше останусь не правым, зато без дырок и вирусов…

CrX ★★★★★
()
Ответ на: комментарий от SaintAnd

Их все сложно отследить, но можно минимизировать. Например, если использовать тупой статический сайт на html4, то тебя не могут поломать через уязвимости JS и php и так далее...

vbcnthfkmnth123 ★★★★★
()
Ответ на: комментарий от CrX

Вот чей-то сайт в Америке customsbyali.com который подцепил такой же вирус. И кто знает, сколько ещё таких сайтов

Он с подключеным claudflare https://leakix.net/host/104.21.73.68

Заражён файлом и т.д. /wp-includes/public/js/wp-kbbrands/index.php

https://malwaredecoder.com/result/c8fc8fe361bf0f7c8fa65c2777d5b311

SaintAnd
() автор топика
Последнее исправление: SaintAnd (всего исправлений: 1)
Ответ на: комментарий от SaintAnd

любопытный зайдёт на страницу wso.php где его машина будет интенсивно работать.

УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

LongLiveUbuntu ★★★★★
()
Ответ на: комментарий от cobold

Ann сразу покровы сорвала, я попкорн сходу выкинул /скрыл

bomjevik
()

Вычисляешь по ip и едешь в другой город морду бить?

targitaj ★★★★★
()

А если серьёзно, открой для себя fail2ban (плохая идея)

targitaj ★★★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.
on blur Препятствует получению событий другими
Web-development
SQL структура хранения для выпадающего меню