LINUX.ORG.RU
ФорумWeb-development

Наказать взломщика сайтов

 , , , ,


0

1

Привет! Подскажите способы наказать взломщика сайтов. У меня есть список файлов к которым подключается взломщик, но которых у меня нет на сайте. Хочу сделать нагрузку проца и оперативки на его устройстве через php файлы которые у меня на сайте. Он пользуется, то VPN то прокси, то вообще ни чем, так что я понял откуда идёт атака. Хочется заблокировать его аппарат)))

  2342	 - - [14/Jan/2025:22:06:50 +0300] "GET /about.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2344	 - - [14/Jan/2025:22:06:54 +0300] "GET /theme.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2346	 - - [14/Jan/2025:22:06:59 +0300] "GET /shell.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2348	 - - [14/Jan/2025:22:07:09 +0300] "GET /ws.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2350	 - - [14/Jan/2025:22:07:21 +0300] "GET /wso112233.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2352	 - - [14/Jan/2025:22:07:24 +0300] "GET /alfanew.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2354	 - - [14/Jan/2025:22:07:31 +0300] "GET /fw.php HTTP/1.1" 200 - 235 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
  2355	 - - [14/Jan/2025:22:07:35 +0300] "GET /style.php HTTP/1.1" 302 - 771 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"```
on blur Препятствует получению событий другими
SQL структура хранения для выпадающего меню
Ответ на: комментарий от ann_eesti

Но всё же. Когда этот бот отсканирует и пришлёт «взломщику» ответ, что файл существует, то когда он зайдёт, через js или что-нибудь ещё устрою ему праздник))

Или вообще поиздеваться и сделать интерфейс wso.php, но только функции будут делать фейковые операции

Надоели они. Работать не дают…

SaintAnd
() автор топика
Последнее исправление: SaintAnd (всего исправлений: 1)
Ответ на: комментарий от SaintAnd

то когда он зайдёт, через js или что-нибудь ещё устрою ему праздник))

Не хотелось бы вас расстраивать, но боты в автоматическом режиме ищут цели и тестируют на них предопределенный набор способов взлома. Никто ручками к вам в машину не полезет.

anonymous
()

Выброси эту идею из головы раз и навсегда. Никаких разумных способов наказать ботов не существует.

Ты не о том думаешь. Задумайся лучше о том, почему боты лезут к тебе на сайт. Лучшее что ты можешь сделать, так это прикрыть свой сайт например за Claudflare. Боты перестанут тебя донимать, логи будут чистыми, а волосы мягкими и шелковистыми.

ilinsky ★★★★★
()

используй клауд, он отсеивает половину ботов. боты на твой сайт на вротпрессе отправляют запросы, а потом проверяют создались ли шеллы и все.

rtxtxtrx ★★
()

Добро пожаловать в веб. Привыкай.

Ничего ты этим ботам не сделаешь — владельцы этих устройств скорее всего даже не знают, что они часть ботнета. Никакие JS они не будут исполнять. Максимум, что ты можешь сделать, это узнать IP и заддосить ни в чём (кроме тупости и забивания на элементарную безопасность) хомячка.

В общем забей. Это норма. Чтобы логи были почище, можно, в принципе, попробовать вносить IP, которые запрашивают конкретные несуществующие /*.php, в списочек и дропать их коннекты сразу. Но это малоэффективно — они всё равно будут всегда новые появляться.

CrX ★★★★★
()
Ответ на: комментарий от guyvernk 
root@rock-3a:~# ls -ln /var/log/apache2/
total 112
-rw-r----- 1 0 4      0 Jan 17 02:30 access.log
-rw-r----- 1 0 4      0 Jan 17 02:30 error.log
-rw-r----- 1 0 4 108468 Jan 17 10:09 other_vhosts_access.log

root@OpenWrt:~# nft list table inet banIP |wc -l
3737

вайтлисты АС и никакого левого трафика

guyvernk
()
Ответ на: комментарий от LongLiveUbuntu

«Наказать» - имею ввиду, что любопытный зайдёт на страницу wso.php где его машина будет интенсивно работать. Не вижу тут статей, т.к. никто ни к чему не принуждает

SaintAnd
() автор топика
Ответ на: комментарий от pavel_l

Дело в том, что уже на добрую пару сотен сайтов вирус пробрался, поэтому вычищаю сайты от его последствий, вместо нормальной работы. Вот что значит «работать не дают»

SaintAnd
() автор топика
Последнее исправление: SaintAnd (всего исправлений: 1)
Ответ на: комментарий от SaintAnd

«Наказать» - имею ввиду, что любопытный зайдёт на страницу wso.php где его машина будет интенсивно работать

PHP исполняется на хосте, а не на клиенте. Как ты собираешься добиться какой-то интенсивной работы? Ну можешь отдать пару терабайт из /dev/urandom разве что. Но скорее всего он всё равно оборвёт соединение после какого-то объёма. JS твой они исполнять точно не будут.

CrX ★★★★★
()
Ответ на: комментарий от SaintAnd

Дело в том, что уже на добрую пару сотен сайтов вирус пробрался, поэтому вычищаю сайты от его последствий, вместо нормальной работы. Вот что значит «работать не дают»

Так это себя надо наказывать за то, что дырки в безопасности устроил. От того, что они просто долбятся, если всё настроено правильно, никакой вирус никуда не пробирается.

CrX ★★★★★
()
Ответ на: комментарий от CrX

Так это себя надо наказывать за то, что дырки в безопасности устроил

Ты не прав. Уязвимостей много и все их сложно отследить даже если они выложены на exploit-db. Claudflare - это тоже не панацея

SaintAnd
() автор топика
Ответ на: комментарий от SaintAnd

Ты не прав

Как скажешь ¯\_(ツ)_/¯ пусть будет не прав. Однако, на мои сайты несмотря на все эти долбления ботов никакие «вирусы» не «пробираются». И пожалуй, я лучше останусь не правым, зато без дырок и вирусов…

CrX ★★★★★
()
Ответ на: комментарий от SaintAnd

Их все сложно отследить, но можно минимизировать. Например, если использовать тупой статический сайт на html4, то тебя не могут поломать через уязвимости JS и php и так далее...

vbcnthfkmnth123 ★★★★★
()
Ответ на: комментарий от CrX

Вот чей-то сайт в Америке customsbyali.com который подцепил такой же вирус. И кто знает, сколько ещё таких сайтов

Он с подключеным claudflare https://leakix.net/host/104.21.73.68

Заражён файлом и т.д. /wp-includes/public/js/wp-kbbrands/index.php

https://malwaredecoder.com/result/c8fc8fe361bf0f7c8fa65c2777d5b311

SaintAnd
() автор топика
Последнее исправление: SaintAnd (всего исправлений: 1)
Ответ на: комментарий от SaintAnd

любопытный зайдёт на страницу wso.php где его машина будет интенсивно работать.

УК РФ Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей

LongLiveUbuntu ★★★★★
()
on blur Препятствует получению событий другими
Web-development
SQL структура хранения для выпадающего меню