Очень частые запросы к сайту

kos0760 · 27 липня 2013

Ребят, заметил в логах своего сайта вот такое

85.64.136.32 - - [28/Jul/2013:02:20:48 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
212.87.191.66 - - [28/Jul/2013:02:20:48 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
105.226.197.79 - - [28/Jul/2013:02:20:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
79.183.118.48 - - [28/Jul/2013:02:20:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
212.87.191.66 - - [28/Jul/2013:02:20:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
212.87.191.66 - - [28/Jul/2013:02:20:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
46.151.20.36 - - [28/Jul/2013:02:20:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
122.22.89.63 - - [28/Jul/2013:02:20:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
91.245.80.26 - - [28/Jul/2013:02:20:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
91.205.217.20 - - [28/Jul/2013:02:20:53 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.213.111.108 - - [28/Jul/2013:02:20:53 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
91.205.217.20 - - [28/Jul/2013:02:20:53 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
91.192.88.24 - - [28/Jul/2013:02:20:55 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
81.162.228.67 - - [28/Jul/2013:02:20:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
82.29.159.106 - - [28/Jul/2013:02:20:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
188.230.26.175 - - [28/Jul/2013:02:21:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
46.23.108.224 - - [28/Jul/2013:02:21:01 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
46.23.108.224 - - [28/Jul/2013:02:21:01 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
189.186.156.143 - - [28/Jul/2013:02:21:01 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
189.250.222.221 - - [28/Jul/2013:02:21:02 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.92.0.210 - - [28/Jul/2013:02:21:08 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
79.183.118.48 - - [28/Jul/2013:02:21:09 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
46.151.20.36 - - [28/Jul/2013:02:21:09 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.125.235.109 - - [28/Jul/2013:02:21:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.120.24.134 - - [28/Jul/2013:02:21:11 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
175.144.187.29 - - [28/Jul/2013:02:21:34 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
190.79.216.187 - - [28/Jul/2013:02:21:36 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.120.135.48 - - [28/Jul/2013:02:21:39 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
81.148.72.103 - - [28/Jul/2013:02:21:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
46.149.222.85 - - [28/Jul/2013:02:21:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
188.115.153.126 - - [28/Jul/2013:02:21:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
46.118.162.106 - - [28/Jul/2013:02:21:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.213.105.36 - - [28/Jul/2013:02:21:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.122.239.123 - - [28/Jul/2013:02:21:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
37.213.135.248 - - [28/Jul/2013:02:21:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
151.0.31.36 - - [28/Jul/2013:02:21:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
80.3.76.67 - - [28/Jul/2013:02:21:43 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
37.215.67.197 - - [28/Jul/2013:02:21:44 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.122.210.115 - - [28/Jul/2013:02:21:44 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
46.118.37.164 - - [28/Jul/2013:02:21:46 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
176.102.0.47 - - [28/Jul/2013:02:21:48 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.154.172.29 - - [28/Jul/2013:02:21:48 +0400] "GET /suhie-smesi/styazhki-samoniveliry/samonivelir-TM40-chernovoi-25kg.html HTTP/1.0" 200 47842
37.212.32.34 - - [28/Jul/2013:02:21:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
93.105.13.94 - - [28/Jul/2013:02:21:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.125.173.142 - - [28/Jul/2013:02:21:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.125.173.142 - - [28/Jul/2013:02:21:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
176.102.0.47 - - [28/Jul/2013:02:21:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
91.211.175.244 - - [28/Jul/2013:02:21:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
91.225.188.170 - - [28/Jul/2013:02:21:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
93.127.17.56 - - [28/Jul/2013:02:21:52 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
93.78.46.250 - - [28/Jul/2013:02:21:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
82.193.103.47 - - [28/Jul/2013:02:21:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
109.251.138.174 - - [28/Jul/2013:02:21:59 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
37.44.117.197 - - [28/Jul/2013:02:21:59 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
91.201.246.17 - - [28/Jul/2013:02:22:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
193.110.75.90 - - [28/Jul/2013:02:22:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
177.100.88.239 - - [28/Jul/2013:02:22:03 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
37.52.111.36 - - [28/Jul/2013:02:22:05 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
37.54.28.249 - - [28/Jul/2013:02:22:05 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
91.211.175.244 - - [28/Jul/2013:02:22:06 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
178.120.240.50 - - [28/Jul/2013:02:22:06 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835
82.160.207.4 - - [28/Jul/2013:02:22:07 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 404 24835

И это лишь часть записи за последний день.

Что это может быть?

Tom · 28 липня 2013

Посмотрите что у Вас в папке download кроме index.html.За одно проверьте ,как сейчас стал выглядеть Ваш htaccsess и нет ли чего лишнего например в header.tpl вашего шаблона.

12strun · 28 липня 2013

Это какой-то бот, меняя IP каждую минуту, пытается залить файл btdghtrgp.pho в каталог /download.

Кто-то вам пытается засунуть зловреда.

LTN · 28 липня 2013

Скорее наоборот. Бот пытается достучаться до однажды ранее залитого файла, и закинуть через него ссылку. Возможно сайт не так давно чистили от вируса, источник шелла удалили, и файл заодно, а в хакерских списках на продажу он до сих пор числится.
Что делать? Ничего не делать. Бот получает 404, следовательно в будущем либо будет предпринята попытка залить шелл заново, либо же этот сайт постепенно удалят из списков.
ТС не мешало бы проверить файлы js, нет ли в них обилия слэшей в конце и левых ссылок.

Причина его появления - скорее всего расширения с варезников.

deim · 28 липня 2013

btdqhnrgp.php

Хотел посмотреть, что же это за зловред такой может быть, так вот, очень странно — ни один из поисковиков никогда не слышал о таком файле.

Единственное упоминание - эта тема.

kos0760 · 28 липня 2013

Посмотрите что у Вас в папке download кроме index.html.За одно проверьте ,как сейчас стал выглядеть Ваш htaccsess и нет ли чего лишнего например в header.tpl вашего шаблона.

Вообще в папке download кроме index.html ничего нет и никогда не было. Сайт только создается и не был в работе. В header.tpl ничего подозрительного нет. Файл htaccsess в том же виде, что и после установки движка ocStore 1.5.4.1 Еще сегодня покопался и заметил это:

95.211.188.136 - - [22/Jul/2013:04:33:40 +0400] "GET /wp-login.php HTTP/1.0" 404 24835

95.211.188.136 - - [22/Jul/2013:04:33:54 +0400] "GET /administrator/index.php HTTP/1.0" 404 24835

95.211.188.136 - - [22/Jul/2013:04:34:07 +0400] "GET /bitrix/admin/index.php?lang=en HTTP/1.0" 404 24859

95.211.188.136 - - [22/Jul/2013:04:34:18 +0400] "GET /admin/index.php HTTP/1.0" 200 3721

95.211.188.136 - - [22/Jul/2013:04:34:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:34:45 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:34:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:35:07 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:35:18 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:35:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:35:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3959

95.211.188.136 - - [22/Jul/2013:04:36:00 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:36:21 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964

95.211.188.136 - - [22/Jul/2013:04:36:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3960

95.211.188.136 - - [22/Jul/2013:04:36:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962

95.211.188.136 - - [22/Jul/2013:04:37:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:37:19 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964

95.211.188.136 - - [22/Jul/2013:04:37:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:37:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:37:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969

95.211.188.136 - - [22/Jul/2013:04:38:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:38:28 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:38:45 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:38:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:39:16 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966

95.211.188.136 - - [22/Jul/2013:04:39:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:39:50 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:40:15 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:40:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:40:51 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969

95.211.188.136 - - [22/Jul/2013:04:41:07 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3960

95.211.188.136 - - [22/Jul/2013:04:41:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3961

95.211.188.136 - - [22/Jul/2013:04:41:47 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:41:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:42:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:42:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969

95.211.188.136 - - [22/Jul/2013:04:42:52 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962

95.211.188.136 - - [22/Jul/2013:04:43:10 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:43:23 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964

95.211.188.136 - - [22/Jul/2013:04:43:35 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:43:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966

95.211.188.136 - - [22/Jul/2013:04:43:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:44:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:44:25 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968

95.211.188.136 - - [22/Jul/2013:04:44:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971

95.211.188.136 - - [22/Jul/2013:04:44:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:44:59 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:45:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:45:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969

95.211.188.136 - - [22/Jul/2013:04:45:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971

95.211.188.136 - - [22/Jul/2013:04:45:55 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3975

95.211.188.136 - - [22/Jul/2013:04:46:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:46:21 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:46:36 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:46:58 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:47:12 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:47:28 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:47:41 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:47:52 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:48:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:48:27 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:48:46 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3962

95.211.188.136 - - [22/Jul/2013:04:48:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:49:06 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:49:18 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968

95.211.188.136 - - [22/Jul/2013:04:49:32 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:49:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:49:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:04:50:03 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:50:19 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966

95.211.188.136 - - [22/Jul/2013:04:50:34 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:50:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964

95.211.188.136 - - [22/Jul/2013:04:50:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968

95.211.188.136 - - [22/Jul/2013:04:51:12 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969

95.211.188.136 - - [22/Jul/2013:04:51:22 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:51:38 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3970

95.211.188.136 - - [22/Jul/2013:04:52:02 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966

95.211.188.136 - - [22/Jul/2013:04:52:23 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3972

95.211.188.136 - - [22/Jul/2013:04:52:40 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:52:51 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968

95.211.188.136 - - [22/Jul/2013:04:53:02 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969

95.211.188.136 - - [22/Jul/2013:04:53:24 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966

95.211.188.136 - - [22/Jul/2013:04:53:37 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971

95.211.188.136 - - [22/Jul/2013:04:53:55 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:54:08 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3969

95.211.188.136 - - [22/Jul/2013:04:54:20 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:54:37 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:55:38 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966

95.211.188.136 - - [22/Jul/2013:04:55:53 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:56:05 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:04:56:13 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:56:33 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:56:44 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:56:54 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:57:14 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:57:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:04:57:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3968

95.211.188.136 - - [22/Jul/2013:04:57:57 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3971

95.211.188.136 - - [22/Jul/2013:04:58:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

блаблабла

95.211.188.136 - - [22/Jul/2013:05:33:25 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:05:33:42 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:05:33:53 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3967

95.211.188.136 - - [22/Jul/2013:05:34:06 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:05:34:16 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3965

95.211.188.136 - - [22/Jul/2013:05:34:26 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3963

95.211.188.136 - - [22/Jul/2013:05:34:39 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3966

95.211.188.136 - - [22/Jul/2013:05:34:50 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 200 3964

95.211.188.136 - - [22/Jul/2013:05:35:09 +0400] "POST /admin/index.php?route=common/login HTTP/1.0" 302 -

а потом уже так:

197.7.112.28 - - [26/Jul/2013:13:51:15 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 221

93.126.82.169 - - [26/Jul/2013:13:51:16 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 279

126.15.37.62 - - [26/Jul/2013:13:51:22 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 187

110.34.4.242 - - [26/Jul/2013:13:51:25 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 193

109.86.194.116 - - [26/Jul/2013:13:51:28 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 199

121.97.121.89 - - [26/Jul/2013:13:51:35 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 209

37.45.123.74 - - [26/Jul/2013:13:51:39 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 176

2.49.95.85 - - [26/Jul/2013:13:51:41 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 201

95.158.40.178 - - [26/Jul/2013:13:51:42 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 259

2.228.147.244 - - [26/Jul/2013:13:51:49 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 223

182.93.194.251 - - [26/Jul/2013:13:51:50 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 149

178.127.11.23 - - [26/Jul/2013:13:51:51 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 178

41.221.54.198 - - [26/Jul/2013:13:51:54 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 177

178.125.56.139 - - [26/Jul/2013:13:51:58 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 102

115.111.114.122 - - [26/Jul/2013:13:51:59 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 135

125.162.161.217 - - [26/Jul/2013:13:52:00 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 311

213.55.105.43 - - [26/Jul/2013:13:52:07 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 127

189.133.101.197 - - [26/Jul/2013:13:52:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 219

182.52.12.148 - - [26/Jul/2013:13:52:10 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 122

122.179.93.235 - - [26/Jul/2013:13:52:12 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 313

41.70.161.153 - - [26/Jul/2013:13:52:12 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 213

193.104.85.202 - - [26/Jul/2013:13:52:14 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 229

5.52.97.20 - - [26/Jul/2013:13:52:14 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 221

213.238.8.13 - - [26/Jul/2013:13:52:19 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 108

78.159.53.193 - - [26/Jul/2013:13:52:19 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

121.97.252.11 - - [26/Jul/2013:13:52:26 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

37.213.44.33 - - [26/Jul/2013:13:52:28 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

176.8.216.152 - - [26/Jul/2013:13:52:29 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

213.210.219.251 - - [26/Jul/2013:13:52:33 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

178.122.227.134 - - [26/Jul/2013:13:52:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

176.108.12.188 - - [26/Jul/2013:13:52:40 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

37.44.109.60 - - [26/Jul/2013:13:52:50 +0400] "GET /index.php?route=module/cart HTTP/1.0" 200 483

1.179.169.181 - - [26/Jul/2013:13:53:03 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

2.185.242.231 - - [26/Jul/2013:13:53:05 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /utepliteli/mineral-vata-ursa-24-mkv.html HTTP/1.0" 200 43738

37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /utepliteli/catalog/view/javascript/PIE.htc HTTP/1.0" 404 24835

37.44.109.60 - - [26/Jul/2013:13:53:08 +0400] "GET /index.php?route=product/product/captcha HTTP/1.0" 200 2506

37.44.109.60 - - [26/Jul/2013:13:53:09 +0400] "GET /index.php?route=product/product/review&product_id=183 HTTP/1.0" 200 77

94.59.255.163 - - [26/Jul/2013:13:53:09 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

178.124.144.204 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

41.249.221.123 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

109.86.251.67 - - [26/Jul/2013:13:53:21 +0400] "POST /download/btdqhnrgp.php HTTP/1.0" 200 5

Походу ломанули мой сайт. Не знаю, что делать. В вопросах безопасности вообще ничего не понимаю.

deim · 29 липня 2013

Да, похоже бот подряд по движкам искал админку. Нашел и видимо дальше уже просто её брутфорсил по словарям.

Учитывая что ip он при этом не менял, то нужно сделать бан по IP при неправильной авторизации админа.

UPD: посмотрел с какого IP вас ломали. Всё очень плохо, лисавеб - самый абузоустойчивый хостинг, им почти на всё пофиг.

Но если хотите, то можете всё-таки им написать и пожаловаться:

inetnum: 95.211.185.192 - 95.211.191.255

netname: LEASEWEB
descr: LeaseWeb
descr: P.O. Box 93054
descr: 1090BB AMSTERDAM
descr: Netherlands
descr: www.leaseweb.com
remarks: assignment LEASEWEB 20080723
remarks: Please send email to "[email protected]" for complaints

remarks: regarding portscans, DoS attacks and spam.

garik · 29 липня 2013

Сегодня пришло письмо от Мастерхоста:

В последнее время участились случаи взлома CMS OpenCard с использованием обнаруженной
более года назад уязвимости:

http://www.securitylab.ru/vulnerability/422889.php

При эксплуатации этой уязвимости на первом этапе вредоносный код размещается в директории
download, а далее через размещенные там скрипты производятся другие действия, такие, как
рассылка спама или изменение произвольных файлов. В случае размещения вебшелла
злоумышленник получает полный доступ ко всей площадке и может размещать свои скрипты на
любом сайте площадки

На вашей площадке используется данная CMS, поэтому рекомендуем вам проверить
всю вашу площадку на наличие посторонних файлов. Также проверьте файлы .htaccess на
внедрение туда кода переадресации мобильных устройств на сайт, содержащий вирусы для
Android. Для того, чтобы воспрепятствовать дальнейшей эксплуатации данной уязвимости,
рекомендуем либо полностью запретить запись в директорию download путём установки на неё
атрибутов 555, либо разместить в ней файл .htaccess c директивой deny from all.

freelancer · 29 липня 2013

решение: выпилить метод upload из контролера product

deim · 29 липня 2013

А ссылка с секлаба на источник очень даже информативная.

Довольно подробно расписано как и через что ломать. Проверю-ка на своих сайтах :D

kos0760 · 29 липня 2013

Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет.

deim · 29 липня 2013

Вообще у меня заражены все остальные сайты на аккаунте. Только они на джумле. Файлы htaccsess содержали код, перенаправляющим мобильные устройства на сайт, предлагающий обновить браузер. Некоторые файлы, особенно файлы шаблонов в хедере содержали ссылку на порно сайт. Пока восстановил все сайты из резервных копий. Вроде пока левых ссылок нет.

Вы хоть по дате изменений просмотрели с какого файла и движка это у вас началось?

Вхід

Очень частые запросы к сайту

Recommended Posts

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Надіслати

Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Створити обліковий запис

Вхід

Зараз на сторінці 0 користувачів

Покупцям

Розробникам

Корисна інформація

Останні розширення

Important Information