Wordpress attack. Не доступен сайт, линый кабинет.

Skip to end of metadata
Go to start of metadata
Вы просматриваете старую версию данной страницы. Смотрите текущую версию. Сравнить с текущим  |   просмотр истории страницы

Если локальный сайт недоступен, и при перезагрузке /app/asr_cabinet он становиться доступным на непродолжительное время. Нужно посмотреть лог:


/app/asr_cabinet/var/log/httpd/error_log

Если видим строчки вида:


Invalid URI in request \xf8\x80\xb6\xd9\xbf%!\xbbq\xdd\xf4\xa4#\xd1\x064\x9c\xef\xef\xaa|j\xc1\x80\xcbc\xa0}\xa1h\xca\xc0\x18u\xdbC\x07\x8b\x13\xba\x01\x1c\xf7s\xe0\xdd\xea\x8al\x0f\xa08iO5g\xec\x87~\xd4=\x10\x8dug\xe0\xbew\xf6\xa9i\xdc\xbbI\xa7\x7f\xe7\x19\xe1\xfb6\xb1\xd3\x99\x07\xff\x13L\x1b?BY\x1d\x84\x86\t,B7\x16\xce\xe6\x87\xad\xd5?\\\xc0\x18?$\xada"\x80\xe2\x90U\xdcWV\xd0\xa0\xb4\xc2

Invalid URI in request o9\xde\xa13\x12\x13\x980\xa5Q\x94\x01\xd3?'\x97\x98\x80\xa2\xa3\xe0\x90\x01,\xdd\xea;+4J\x18\xed\xca)\x0e\x16\xb5\xa6\xe2\xcc<v\x83p%\xeb\x98:\x91\x8c3\xb3\xfbx\x92V\xd1\xac\x98BC\xe5\xf0\xab\x04\x9c\x1d\x94O\x92\x88%N\xac\xaeq\xa8\xa3<\xec\xc4~\xe7\x1dv\x80K\tq\xa9\xbf\xee\xdd\xaaj\xe9\x8a#\x83\xb0j.\xb6yMYAzjq\xcf\x96t\xd2\xa5C\x9b\xb6\xf7\xdb\xd4uV]Z\xf5\x86\xa3\x01}|\x03f\x06@s

Invalid URI in request \x96\xfaF\xed\xaa\xf1c\x10\xc4\x94\xc4\xc5\xe0\x10;]\x89\xc5\xf2-XIA3`\xf0/V\xab_/d\xaa\x84|y\xf8p\xcc-\xac\x1e \xc9\xee\x1dJ\x8csN\xdb#1\xde\xa0\xf3\x93\xd4^\x18\xe7\x7f\x7f\x8f\xcd\x84}J\xfa\xd9\xb2Y]C#\x0f!\xd1#\xd5\x81b\xeeT\x93\xffxM\xb3\b\xcbP._Z\xa3\xb0\xea4\x1c\xac&\x19\xc8Td\xa83\xbc\xb5\x9b\xdfj0\xd6\x98\xab\x8c\xbc\x9c\x12n\xabh\xc6\xa1t\x03\xba\xa8\xe5

То имеет место быть атака на wordpress. С помощью эксплуатации уязвимости вывести его из строй или получить контроль над сервером.

Для решения проблемы нужно добавить ip адреса атакующего в firewall.


iptables -I asr_cabinet_input -s <ip/net> -j DROP
conntrack -F

Не забываем добавить правило в хук /app/asr_cabinet/cfg/hooks


#!/bin/bash


if [ "$1" = '/etc/init.d/firewall' -a "$2" = 'start' ]; then

    iptables -I asr_cabinet_input -s <ip/net> -j DROP
fi

exit 0

Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.