1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

Сайт посетил Хрумер

Тема в разделе "OFF-топик", создана пользователем лиса, 07.04.2012.

Загрузка
  1. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Хрумер, это программа массовой рассылки объявлений на сайты, типа форумов и досок объявлений. Это хакерская программа и предназначена она, в первую очередь, для взлома сайтов, в том числе, всевозможной защиты при регистрации пользователей.
    Вот логи злоумышленника, он искал вход в админку
    Может у кого есть предложение, как для xpymep.exe заблокировать вход на сайт?
     
  2. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Если использовать свой VDS, то можно через fail2ban блокировать IP, с которые осуществляется подозрительная деятельность.
    Если просто нужно защитить админку, то через .htaccess, наверное.
     
  3. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    IP адрес у злоумышленника может быть любой, у этого с BEELINE-BROADBAND. Что этой программой будут на сайте ломать, тоже сложно предположить.
    Поэтому лучше запретить хрумеру вход на сайт, но как это сделать?
     
  4. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Каким образом Вы определяете подозрительную активность? По агенту и по таргету в логе веб-сервера. Это и можно заложить в описание подозрений. Это то, что касается fail2ban.
    Запрет посторонним IP вход в админку можно сделать. На сайт - никак. Вернее, можно, конечно, но это больше будет походить на борьбу с ветряными мельницами.

    Если бы можно было как-то однозначно идентифицировать хрумера, то были бы какие-то варианты и через .htaccess. И то, не факт. Проще ориентироваться не на конкретный инструмент взлома, а на подозрительную активность. Например, 3 неверные попытки зайти в админку - бан на 1 час по IP. Подозрительные таргеты - аналогично. В результате получится вполне устойчивая к взломам система. Пробиваемая, конечно, но являющаяся при этом достаточно мощной и защищающей от массы мелких пакостников и тупых ботов-взломщиков.
    Но fail2ban доступен только на своем сервере (VDS, VPS, железный). Да и то не на всех хостингах виртуалок.

    Ах да. Забыл заметить, что fail2ban - это блокировка IP средствами iptables (линуховый файервол).
     
  5. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    У меня самый обычный хостинг. В тоже время бан по IP можно задать из админки, но смысла нет - IP может быть от любого провайдера. Как забанить бот, это мне известно, что я и сделала с GSLFbot, который, как вор залез в 4 утра на сайт и организовал мне трафик аля-однокласники.

    Хрумера-то сервер опознал. Значит можно как то по имени заблокировать
     
  6. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    Хрумера опознал только в первых запросах, потому что сначала владелец хрумера в админке просто не настроил UserAgent (хрумер может любым браузером прикидываться)
    Если обычный хостинг и стоит апач то здесь почти все методы блокировки через htaccess - по урл-у, кукам, юзер агенту и т.д.
     
    лиса и infis нравится это.
  7. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Печально это. Остаётся только в прятки с ним играть - он ищет, а сайт прячется
     
  8. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    А Вы пробовали открыть ссылку, которую Вам Yoskaldyr, предоставил?
    А Вы обратили внимание на то, что я Вам сказал, что нужно обращать внимание на подозрительную активность?

    В любом случае однозначно идентифицировать всегда сложно. Но уменьшить вероятность можно разными способами.
     
  9. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Материал по ссылке я просмотрела. Проблемы, которые поднял автор меня мало интересуют, поскольку то, о чём он пишет, про заголовки, для меня уже "тёмный лес". Иначе, нет того предмета, с которым борется автор. Он пишет о последствиях каких то событий и приводит примеры их устранения.
    Я уже так делала, вставляла в htaccess нужные мне коды, а потом обнаруживалось, то, то не работает на сайте, то это. В общем в инете много разных советов.
    Сколько я натерпелась от советов по установке ХАМРР. Не помогли они мне, да, и как оказалось, все советы были, фактически, скопированы с других сайтов, при этом, никто их авторов не опробовал скопированный вариант на практике.

    Конечно, решение я, когда-нибудь найду сама и в этом случае. Не хотелось только с нуля начинать. Одно успокаивает, раз нет тех кто противодействовал Хрумеру, значит проблема с его посещением сайтов не актуальна.
     
  10. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    Я противодействовал ,только настраивал через Nginx + спец. модули. Но Вы же сказали что хостинг обычный - значит апач.
    Инструкции как противодействовать Хрумеру в принципе не может быть - ибо он может прикинуться км угодно. Настраивать надо для противодействия конкретной атаке и использовать можно почти любой метод из предложенных выше по ссылке, но как использовать - все будет зависеть от конкретной атаки.
     
  11. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Yoskaldyr, вопрос в том, что я не смогу как то изменить htaccess, если у меня будут проблемы с ним - знаний не хватает, я не программист. С написанием htaccess на языке слов я могу ещё разобраться, а когда я вижу в коде скобочки, черточки, точки, запятые, то даже и связываться не хочу с таким htaccess.
     
  12. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Пока остановилась на таком варианте.
    - в правах на катологи порставила запрет на запись в них (555)
    - чаще делаю сохранение базы форума, особенно по выходным, когда эта нечесть оживает.
     
  13. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Вобщем, Хрумером мой сайт долго обхаживали по выходным. Почему долго, потому что при обнаружении я банила их IP-адрес. Но, вот, в эти выходные ко мне полезли регится "черти из коробки". Собственно они и не регистрировались обычным путём, а прописывались на форуме. Забанила я одну маленькую республику в РФ и столицу Украины откуда хакеры управляли компами.

    Посмотрела в базу форума и обнаружила такую таблицу
    taggregate_temp_1331096160
    У меня её, похоже, не было. В столбце таблицы под названием "Тип" во всех таблицах форума значилось "MyISAM", а в указанной и только в ней "MEMORY"

    Вопрос:
    Эту таблицу хакеры создали?
    Что они ещё могли натворить в базе, что бы быть зарегистрированными без регистрации?
     
  14. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    лиса нравится это.
  15. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Таблица на месте, но она пустая. То есть структура таблицы есть, но в сравнении с другим форумом её содержимое =0.

    Yoskaldyr, спасибо. Значит это дело не их рук.

    Последовательность действий у них такая.
    Регистрируется, мне приходит письмо о регистрации, НО на страничке "кто на форуме" значится, что регистрацию он не заканчивает и так в этом положении остаётся пока сессия не закончится, затем, одновременно с регистрацией появляется гость с другим браузером но с этим же IP адресом ему загорается транспорант, что авторизацию он уже прошёл. Иду в админку, юзер зарегистрирован. Вот так регились черти.

    Получается, что первый "висит" на последней странице регистрации, а второй идёт в это время на подтверждение без получения письма на подтверждение и регистрация проходит.
    Думаю,как-то так происходит. По лог-файлу он вообще не заходит на регистрацию, только дважды на подтверждение регистрации.
     
  16. Finelai

    Finelai Местный

    Регистрация:
    22.06.12
    Сообщения:
    100
    Симпатии:
    11
    Версия XF:
    1.1.3
    лиса, а что вас удивляет? Стандартная схема действия для спам-ботов. Один бот для регистрации, второй бот для верификации и третий для постинга.
     
    лиса нравится это.
  17. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Меня всё удивляет, особенно то, что они делают у меня на сайте чё хотят, а у меня только один способ их "верификации" - забанить половину территории РФ.
     
  18. Finelai

    Finelai Местный

    Регистрация:
    22.06.12
    Сообщения:
    100
    Симпатии:
    11
    Версия XF:
    1.1.3
    Есть ведь такие ресурсы, как http://www.stopforumspam.com/ - большая база данных спам-ботов, которая пополняется беспрерывно самими же администраторами форумов. Туда заносят данные о боте, что позволяет предотвратить его регистрацию на других ресурсах-участниках системы.
    Есть ещё множество способов. Бан по ip самый радикальный из них (тем более по маске подсети) и крайне нежелательный.
     
    лиса нравится это.
  19. лиса

    лиса Заблокирован

    Регистрация:
    05.10.10
    Сообщения:
    395
    Симпатии:
    84
    Finelai, спасибо я посещу тот рессурс. Но, полагаю, не боты это были. Я наблюдала за действиями злоумышленников несколько недель. Наблюдала и постепенно банила их единичные адреса, которые шли с одного и того же региона РФ. Один раз наблюдала замешанный в адрес гостя адрес другого провайдера.
    Когда началась массовая регистрация всё из того же региона, я забанила по маске. После чего вылез тот провайдер, которого я случайно видела "замешанным" под адресом из забаненого региона. Этот провайдер находился в столице другого государства. Забанила по маске этого провайдера и всё прекратилось.
    Конечно, хорошего мало от блокировки адресов по маске, но другого варианта пока нет. Очевидно, что злоумышленник действовал через зараженные трояном компы пользователей интернета из забананного мною региона РФ.
    Или я не права в своих выводах?
     
  20. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    http://www.xf-russia.ru/forum/threads/keycaptcha-antispam.649/ помогает, после установки пазла, боты не могут зарегеться...
     
    лиса нравится это.

Поделиться этой страницей