Back to Question Center
0

Miksi näen BOT / 0.1 (BOT for JCE) -pyyntöjä palvelintietokalustani ja mitä minun pitäisi tehdä niistä? Semalt

1 answers:

Palvelimeni hakee pyyntöjä BOT / 0 tunnistetulla käyttäjäagentilla. 1 (BOT JCE: lle) . Ensimmäinen saapui 2013-09-14 22:13:17 CEST, viimeinen vielä noin kolme päivää sitten, 2014-08-12 06:05:39 EEST.

  • Suurin osa niistä (noin 60%) käyttää HTTP / 1: n GET-menetelmää. 1 ja yritä saada indeksi. php eri paikoissa sivustollani käyttäen polkuja, joita käytän jo - оттоманка диван. Ne johtavat aina vastaukseen 404 tilakoodilla (Ei löydy) tai 400 (Bad Request), koska en käytä PHP lainkaan.

  • Noin 40% niistä on HTTP / 1. 1 POST-pyyntö / hakemisto. missä . ovat joko

    tai

    1. ja versio = 1576 ja tyhjä merkkijono (noin 50%) tai
    2. ja menetelmä = muoto ja

          & 6bc427c8a7981f4fe1f5ac65c1246b5f = cf6dd3cf1923c950586d0dd595c8e20b   

      (noin 50%) tai

    3. harvoin ja menetelmä = muoto ja

          & 6bc427c8a71281f4fe1f5ac65c1246b5f = cf6dd3cf11223c1250586d0dd5125c8e20b   

    Kuten GET-pyynnöissä, tämä on joskus liitetty sivuston URL-osoitteen jälkeen. Nämä enimmäkseen (75%) johtavat 404 tai 400; mutta kun ne osuvat MwForum-asennukseni (25%), syntyy jopa 200 OK (ensimmäisen alatyypin) tai 500 sisäisen palvelinvirheen (toisen ja kolmannen alatyypin osalta), jonka oletan olevan vain MwForumin virheellinen koodaus.

  • Noin 5% ("ylhäältä" -virhe prosentteina edellä) ovat täysin virheellisiä pyyntöjä, joissa on HTML-koodin osia pyyntörivillä, jossa polku ja kyselyjono olisi. Useimmat heistä yrittävät POST: n MwForumille. Alussa on URL-osoite yhdestä sivustosivullesi, jota seuraa hintatarjous, jokin HTML-koodi sekä URL-osoite ja / index. php? option = com_jce & . liitetty. He tulevat luultavasti tyhmältä naarmuilta.

Puunjalostuslinjat:

    2014-08-05 22:50:32 93. 95. 74. 25 "HTTP / 1. 1 "GET esimerkki. com "/ hakemisto. php "400 0 0" - "" BOT / 0. 1 (BOT for JCE) "" - "
2014-02-23 08:50:35 202. 29. 16. 241 "HTTP / 1. 1 "POST-esimerkki. com "/ mwforum / topic_show. pl? tid = 1485 / index. php? option = com_jce & task = imgmanager & method = muoto & cid = 20 & 6bc427c8a7981f4fe1f5ac65c1246b5f = cf6dd3cf1923c950586d0dd595c8e20b "500 711 0" - "" BOT / 0. 1 (BOT for JCE) "" - "
2014-01-28 15:25:55 94. 23. 4. 47 "class = \" url \ "data-dot = \" url \ "> esimerkki. com / mwforum / topic_show. pl? tid = 1485  
February 7, 2018

Kyllä, tämä boksi yrittää hyödyntää JCE: tä. (+ peili ) JCE < 2. 0. 11 . Vaikka tämä on todella vanhentunut versio, monet tapaukset ovat edelleen luonnossa. JCE 2. 0. 11 julkaistiin 29.8.2011, hyödyntäminen on ollut saatavilla julkaisun jälkeen (jos sen tekijä säilytti sanansa).

Jos JCE: tä ei ole asennettu sivustollesi, voit jättää nämä lokimerkinnät turvallisesti huomiotta. (Ellei joku muu peitä hänen hyökkäyksensä kuin tämä. En voi koskaan tietää . )

Jos käytät vanhentunutta JCE-versiota, päivitä välittömästi ja tarkista, ettei sivustossasi ole haittaa. Sinun pitäisi luultavasti sukeltaa 19: n aiheeseen liittyvän viestin To-ylläpitäjiin Unmask Parasites -blogissa .

Kuten näette, tämä on jotain, jota et voi laiminlyödä tai harkita vähäistä uhkaa. On typerää toivoa, että hakkerit eivät löydä sivustoasi. Tänään hakkereilla on resursseja hämähäkkiin Internetiin lähes yhtä tehokkaasti kuin Googlessa noin 10 vuotta sitten, joten sivustolla ei ole lainkaan mahdollisuutta jäädä huomaamatta. Ainoa tapa estää hakata on olla ennakoiva: pitää kaikki ohjelmistot ajan tasalla ja koventaa sivustoja.

Jos kyseessä on erityinen JCE-hyökkäys:

  1. Varmista, että päivität Joomla-sivustosi uusimpaan versioon.
  2. Päivitä JCE uusimpaan versioon. Löydät latauspaketit kaikille Joomla kolmelle sivulle .
  3. Suojaa kaikki tiedostonsiirtohakemistot ja kaikki hakemistot, jotka eivät saisi sisältää. php-tiedostoja. Aseta esimerkiksi seuraava. htaccess tiedosto siellä estää suorittaminen PHP-tiedostoja:

      
    kieltäytyy kaikista
     
  4. Yritä estää pyyntöjä " BOT / 0. 1 (BOT for JCE) "User-Agent-merkkijono. Tätä ei luonnollisestikaan pidä todellisena suojana. Hakkerit voivat muuttaa User-Agent-merkkijonoa haluamaasi kohtaan. Mutta se voi auttaa pitämään tyhmät ärsyttävät robotit pois sivustostasi.

  5. Jos jostain syystä et voi päivittää sivustosi tällä hetkellä, harkitse sen asettamista sivuston palomuurin taakse, joka estää haitallisen liikenteen ennen kuin se tavoittaa palvelimesi. Tämä on jotain, jota me kutsumme virtuaalista korjausta Sucurissa CloudProxy .

Vastuuvapauslauseke: En ole Sucurin kanssa missään muodossa.

Liittyvät

  • post @ Sucuri blogi
  • honeypot alert @ SpiderLabs - lisääntynyt toiminta maaliskuussa 2014
  • post @ Valkoinen Fir Design blogi
  • keskustelu @ SpambotSecurity. com
  • thread @ JCE foorumi
  • thread @ Joomla foorumi
  • yrittää estää botin käyttämällä . htaccess @ Stack Overflow (lohko lähetyksen kautta 403 Kielletty kun käyttäjäagentti havaitaan)