Хакера, хакера, хакерочки…

Рубрики: Разное; автор: .

Взломщик за работой

Кто-то ломится в мой блог. Уже изрядно времени ломится. Может, это даже и не один человек, а несколько, с разными инструментами. Я знаю, что они ломятся, потому что мой комплекс обеспечения безопасности сайта изо дня в день сообщает мне о попытках войти не в дверь, так в окно, не в окно, так с заднего крыльца, не с заднего, так с чердака.

Мне уже хочется знать, кто же меня так любит. Второй мой блог (запущенный в части наполнения, но не запущенный в части техподдержки) тоже временами шлёт сигналы о хакерах, но с этого они идут непрерывно. Я вижу, что:

  • какой-то медик-недоучка пытается делать sql-инъекции;
  • селекционер-мичуринец методично ищет у меня некошерные плагины и темы с признаком uploader.php;
  • обладатель почётной грамоты имени товарища Сизифа упорно подбирает пароли к логину «admin».

А ещё я вижу в логах обращения по адресам админских панелей всех популярных цмсок (правда, я пока не видела нестандартных адресов, как у одной знакомой, которую с энтузиазмом ломали, пытаясь угадать адрес по её культурным интересам). И мне очень хочется знать: кто это, и почему я?

Ему нужна именно я, Панина Юлия Владимировна, интернет-псевдоним «Княгиня»? Я его знаю или у него это безответно-платоническое? Или он решил мимоходом взломать блог «бабы-дуры», а когда не вышло с ходу — увлёкся процессом? Не знаю, ой, не знаю. А может, это идейный маньяк, ломающий блоги по особому принципу (например, «поставить на место» автора, неугодного по половому или религиозному признаку) или просто охват неводом по принципу «греби чаще, хоть что-нибудь зацепишь».

Так или иначе, но сообщения продолжают сыпаться; если раньше они падали нерегулярными сериями (попытки sql-инъекций), то сейчас поток стал равномерным (кто-то брутит, не забывая проверять другие подходы). Можно уведомления отключить, но я боюсь расслабиться: лучше знать, что тебя ломают, нежели внезапно обнаружить свершившийся факт. Да, я не застрахована от взлома, несмотря на все принятые меры, как не застрахован никто, если взломщик берётся за дело всерьёз; но пока я вижу детский лепет, против которого у меня есть всё, что нужно, и с запасом.

Кстати, а вы не забыли принять меры безопасности на своём блоге? У вас логин не «admin», пароль не из трёх букв? Смотрите!..

И в апдейт напомню старую историю о Робин Гуде в роли начинающего хакера.

Апдейт-2: ответ на участившийся вопрос а какая взломщику польза?

140 комментариев на «Хакера, хакера, хакерочки…»
  1. Мария Велес3

    Юля, мне кажется, это кто-то вошел в раж. Пробует свои силы. И этот кто-то явно понимает, что не на новичка нарвался. Настоящие профи выполняют работу быстро, особенно — в команде. Может, после прочтения этого поста задумается? Никогда таких людей не понимала. %) Делали бы что-то полезное. Желаю Вам выстоять против невидимого врага.

    Ответить комментатору
    • Княгиня1993

      Не факт, что он здесь читает. Но если он до сих пор не догадался сменить подбираемый логин, то мне бояться нечего. Вот если придёт кто поумней, тогда стоит поопаситься. Кстати! Пойти сделать очередной бекап. На хостера надейся, а сам…

      Ответить комментатору
      • Денис-поэт2

        Есть такая вещь- смс-аутентификация, без кода из смс , в панель никто не зайдёт, уж не знаю как на вашей CMS-ке , но на моей всё же лучше. Google заботливо предоставляет свои мощности . Вам присылаются уведомления, врагу то , что владельцу отправлено смс и нужно ввести код . В этом случае код будет подобран , если у вашего врага есть ваш телефон с вашей симкартой)

        Ответить комментатору
        • Княгиня1993

          Не встречала такого плагина, а кроме того — эта услуга стопудово будет платной. Ну, и зело маятно каждый раз ждать смс-ку; случай из разряда «лучше 1 раз сгореть, чем всю жизнь мучиться».

          Ответить комментатору
  2. Кипарис

    Какие у вас сложности, однако! :( А я думал всё это легко и приятно.
    Ну, а если взломают блог, то чем это грозит?

    Ответить комментатору
    • Княгиня1993

      Ну, чем грозит… Если ломатель — малолетка, он напишет на блоге что-то вроде «Я всё взломал, вы кругом дураки» и поменяет пароли. В этом случае мне придётся восстанавливать доступ, а потом сайт из бекапа.

      А если кто-то умный ломает, он втихую влезет, внимание привлекать не станет. Зальёт на сайт, что ему нужно, и либо наладит мобильный редирект на какую-нибудь хрень, либо организует продажу левых ссылок. А, либо попробует распространять через сайт трояны, тоже вариант. Сейчас даже «биржи» такие есть, которые продают ссылки со взломанных сайтов (некоторые прямо так и говорят, не стесняются).

      Но в моём случае втихую уже не выйдет, мне система оповещения в течение часа доложит, что на сервере изменились или появились новые файлы. Тогда, опять же, чистить сайт и латать дыры. И посылать лучи поноса грязному племени хакеров. :)

      Ответить комментатору
      • Надежда10

        Юля, здравствуйте, а как Вы защищаетесь? У меня конечно все поменено и имя пользователя и пароль нормальный, и стоит Sucuri Security, вроде тоже сообщает, пару раз пробовали пароль подобрать, правда в обеих попытках по 33 и 53 раза,но он вроде от sql-инъекции не защищает, я на Вашем сайте не нашла эту инфу, а ведь интересно

        Ответить комментатору
        • Княгиня1993

          У меня ещё 1 секьюрный плагин стоит, который как раз и блокирует все эти инъекции и прочие домогательства. А ещё — запрет доступа в админку по айпи и двойная авторизация средствами htaccess.

          Ответить комментатору
  3. Надежда Хачатурова49

    Юля, ломятся не только в Ваш блог. Ломятся повсюду. Тренируются, может? Руку набивают? Методики отрабатывают? По поводу логинов-админов, любой логин можно просмотреть, сами знаете где. В настоящее время моя головная боль не в попытках взломов (безопасность соблюдена, насколько это возможно). Какие-то придурки ставят ссылки на свои говносайты, оттуда переходы есть на ноль секунд. И доля таких в общей статистике немалая. Как с ними бороться, ума не приложу. Доброе же дело делают — ссылку поставили. Что им предъявить? На одном таком лже-ресурсе нет даже контактных данных, зато в поиске яндекса почти тысяча страниц и многие запросы в ТОПах.

    Ответить комментатору
    • Княгиня1993

      Да я слышала всякое. Кстати, а где можно посмотреть логин, кроме БД и браузера?

      Про ссылки не совсем поняла. НА ВАС ссылки ведут?

      Ответить комментатору
      • Надежда Хачатурова49

        Браузер и имела в виду. Ссылки ведут на нас. :) Причем, одна уже проиндексирована яндексом. Удивилась, почему в гугле ее нет, а посмотрела и обнаружила, что в гугле сайт под жестким фильтром — вообще выкинут, хотя раньше трафик был неплохой оттуда. А со второй пока только переходы. До апа, вероятно. Потом и эту Яшка проиндексирует. Взят хороший домен авторитетного сайта, к нему приставочка сделана, и орудуют. Если принять во внимание, что посещения посещениями не назовешь (больше нуля секунд не было), то создаются такие ресурсы для каких-то черных дел.

        Ответить комментатору
      • Владимир6

        Юлия, если вы имеете в виду где могут подсмотреть логин хакеры, то это не проблема — логин передается в открытом виде по сети, когда вы заполнили форму логина и кликнули «Войти». Другое дело, если бы для логина использовался протокол HTTPS. Тогда все передавалось бы в шифрованном виде, и хакерам было бы уже тяжко перехватить (хотя теоретически возможно). Жаль, что не все хостинги могут предоставить возможность работать по HTTP и HTTPS, кроме того для работы по протоколу HTTPS нужно еще и сертификат приобрести, а это стоит примерно от 20 у.е. на год.

        Ответить комментатору
        • Княгиня1993

          Я недостаточно подкована, поэтому не знаю — как можно перехватить эти данные, если не имеешь доступа ни к серверу, ни к компьютеру. А шифрованный протокол пока что не стал для меня насущной необходимостью.

          Ответить комментатору
          • Владимир6

            Да, шифрованный протокол к сожалению для нас, кто «родом из СССР», довольно накладен в финансовом смысле. Меня самого как-то жаба душит, думая, что придется расстаться с несколькими десятками баксов. Хотя, если бы у меня сайт был типа магазина или ему подобного, то конечно я бы и не сомневался — приобрел бы сертификат и за полсотни :)

            Ответить комментатору
            • Княгиня1993

              Это точно, для магазина можно и расщедриться. А для простого блога это кудревато.

              Ответить комментатору
  4. Anna Andrienko2

    Мне как раз сегодня пришло письмо от хостинга, что у них массовые атаки хакеров на сайты, работающие на Вордпресс и Джумла.

    Ответить комментатору
    • Floren1

      Работал в сеоконторе (никогда не заказывайте там услуги *CRAZY* ), так один сайт даже анонимусы умудрились взломать. Ничего глобального не произошло, подписались © Falcon, программист восстановил из бекапа и всё. Через неделю другая группировка взломала. Причина оказалась смехотворная. /backup был в свободном доступе 😀 не знаю, как с технической точки зрения было реализовано, но программист наш долго угорал.

      Ответить комментатору
      • Alex1

        Как там в старой пословице — сисадмины делятся на тех, кто делает бэкапы и тех, кто пока не делает. Меня самого бэкапы выручали уже не раз. Самое главное — время от времени проверять это резервную копию — удастся ли из нее восстановить сайт? 8)

        Ответить комментатору
        • Шопокланг1

          Ох, знать бы еще как их проверять… Я пока просто делаю бекапы, надеюсь, что с ними все нормально и они рабочие. :( Восстанавливать свой молодой сайт с их помощью еще не доводилось.

          Ответить комментатору
  5. Элина12

    Да уж… неприятные моменты. Интересно, а зачем им персональные блоги… Не масштабно как-то.

    Ответить комментатору
    • Антон Смирнов1

      Если блог с хорошими показателями, и собрать таких сотню, то можно достьчь чего-то. После того как накопяться тысячи уже можно будет поговорить и о маштабности.

      Ответить комментатору
  6. Максим34

    Радоваться надо же. Значит помнят. Вот если вообще никто не проявляет интереса — это гораздо печальнее. В коде версия WP не указана, что уже хорошо, я так свою всегда держу в актуальном состоянии, ведь когда выходит новый релиз — в изменениях пишут о найденных уязвимостях.

    С актуальной версии попытки удачного взлома стремятся к нулю, если б было так просто вытаскивать информацию при помощи sql-инъекций, не было бы рынка DDOS-услуг.

    Ответить комментатору
  7. Александр Викторович39

    Создавая свой сайт не думал о безопасности, просто не понимал. По началу был логин Админ и мета была и даже регистрацию разрешал. Хорошо быстро понял. Все убрал и изменил. В прошлом году было много ДДОС атак на сайты и хостинг. Хостинг сделал дополнительную защиту от роботов на вход в админку. Атаки прекратились полностью.

    Ответить комментатору
Есть что сказать? Не молчим!

Используйте теги: <a href=""> <abbr> <acronym> <b> <blockquote> <cite> <code> <del datetime=""> <em> <i> <q> <s> <strike> <strong> <pre> <ul> <ol> <li> .

Комментарии короче 200 символов публикуются без активной ссылки. Пробелы не учитываются.

Ссылки с комментариев dofollow. Ознакомьтесь, пожалуйста, с правилами dofollow-комментирования. Кто не читает, тот сам себе враг.