EdZa 1 Опубликовано 9 марта, 2018 Жалоба Share Опубликовано 9 марта, 2018 стоит 1,81 сначала пришло письмо в котором сообщили, что на сайте уязвимость затем начали сыпаться письма в почтовый ящик --- MYSQL ERROR REPORT - 09/03/2018 07:03:32 --------------------------------------- - connect --------------------------------------- Remote Address: 163.44.198.58 Referer : http://www.games.co.uk Requested : / Trace Back : redirector.php:207(includearray(1) {; [0]=>; string(51) "index.php"; }; ) => index.php:26(includearray(1) {; [0]=>; string(70) "includes/application_top.php"; }; ) => includes/application_top.php:187(vam_db_connectarray(0) {; }; ) => inc/vam_db_connect.inc.php:37(vam_db_errorarray(3) {; [0]=>; &string(7) "connect"; [1]=>; &NULL; [2]=>; &NULL; }; ) ---- Писем было ОЧЕНЬ много. Remote address везде разный, строка Trace back везде одинакова Вопрос, как защититься ? Сайт тормозит, т.к. в онлайн 2000-3000 коннектов последний URL стоит / Ссылка на сообщение Поделиться на другие сайты
EdZa 1 Опубликовано 9 марта, 2018 Автор Жалоба Share Опубликовано 9 марта, 2018 В логе такие записи 89.19.30.167 - - [09/Mar/2018:10:58:28 +0400] "GET / HTTP/1.0" 302 635 "http://us.888casino.com" "Mozilla/5.0 (compatible; MSIE 9.0; Windows Phone OS 7.5; Tr 47.90.75.100 - - [09/Mar/2018:10:58:29 +0400] "GET / HTTP/1.0" 302 635 "http://casino.netbet.co.uk" "Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 5.1; FDM; 47.90.75.100 - - [09/Mar/2018:10:58:18 +0400] "GET / HTTP/1.0" 200 35023 "http://www.bingo.com" "Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1. 119.59.106.111 - - [09/Mar/2018:10:58:19 +0400] "GET / HTTP/1.0" 200 34970 "http://www.casinoroom.com" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT; Avant и такие [Fri Mar 09 11:00:58 2018] [error] [client 81.209.175.20] PHP Warning: mysqli_connect(): (42000/1203): User shop already has more than 'max_user_connect ions' active connections in /home/public_html/redirector.php on line 23, referer: http://playgames.good-run.club [Fri Mar 09 11:00:58 2018] [error] [client 110.4.40.122] PHP Warning: mysqli_connect(): (42000/1203): User shop already has more than 'max_user_connecti ons' active connections in /home/public_html/redirector.php on line 23, referer: http://roxcasino1.com Ссылка на сообщение Поделиться на другие сайты
EdZa 1 Опубликовано 9 марта, 2018 Автор Жалоба Share Опубликовано 9 марта, 2018 ограничил кол-во подключений в nginx с одного IP увеличил max_user_connections посмотрим, что будет дальше Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 9 марта, 2018 Жалоба Share Опубликовано 9 марта, 2018 9 часов назад, EdZa сказал: стоит 1,81 сначала пришло письмо в котором сообщили, что на сайте уязвимость затем начали сыпаться письма в почтовый ящик --- MYSQL ERROR REPORT - 09/03/2018 07:03:32 --------------------------------------- - connect --------------------------------------- Remote Address: 163.44.198.58 Referer : http://www.games.co.uk Requested : / Trace Back : redirector.php:207(includearray(1) {; [0]=>; string(51) "index.php"; }; ) => index.php:26(includearray(1) {; [0]=>; string(70) "includes/application_top.php"; }; ) => includes/application_top.php:187(vam_db_connectarray(0) {; }; ) => inc/vam_db_connect.inc.php:37(vam_db_errorarray(3) {; [0]=>; &string(7) "connect"; [1]=>; &NULL; [2]=>; &NULL; }; ) ---- Писем было ОЧЕНЬ много. Remote address везде разный, строка Trace back везде одинакова Вопрос, как защититься ? Сайт тормозит, т.к. в онлайн 2000-3000 коннектов последний URL стоит / А зачем Вы все письма с mysql отправляете себе на ящик?! Вы ж утоните в них, если что с mysql сервером случится. Уберите свой ящик в /lang/russian/russian_db_error.php Постоянно не надо свой ящик указывать, это чисто для отладки. Вместо ящика укажите /dev/null А что за уязвимости?! В текущей верии мне неизвестны дырки. Вроде всё закрываем быстро. Каких-то деталей не присылали?! 14 минуты назад, EdZa сказал: ограничил кол-во подключений в nginx с одного IP увеличил max_user_connections посмотрим, что будет дальше Вообще, больше похоже на каких-то спам роботов. Ссылка на сообщение Поделиться на другие сайты
EdZa 1 Опубликовано 9 марта, 2018 Автор Жалоба Share Опубликовано 9 марта, 2018 специально ящик не прописывал. поправлю /lang/russian/russian_db_error.php На мэйл пришло предупреждение о возможной уязвимости, я ответил. А утром это. Как сейчас понимаю, просто большой поток запросов. и ошибки в почту, тысячами. Просто увидев письмо с текстом про PHP, подумал, что php как-то эксплуатируют. Уже стоит </dev/null> Unrouteable address и почта сваливается админу ) Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 9 марта, 2018 Жалоба Share Опубликовано 9 марта, 2018 3 минуты назад, EdZa сказал: специально ящик не прописывал. поправлю /lang/russian/russian_db_error.php На мэйл пришло предупреждение о возможной уязвимости, я ответил. А утром это. Как сейчас понимаю, просто большой поток запросов. и ошибки в почту, тысячами. Просто увидев письмо с текстом про PHP, подумал, что php как-то эксплуатируют. Уже стоит </dev/null> Unrouteable address и почта сваливается админу ) Ну надо отключить все эти несуществующие отправки. Они в любом случае не нужны, что б админу всё скидывалось. Просто представьте если упадёт mysql сервер, то Вас завалит просто подобными сообщениями. Вообще, особо не похоже на взлом. А больше на каких-то спам роботов похоже. А ошибки наверное потому что какой-то пиковый момент был и mysql не справился с запросами, если не сильно много ресурсов на хостинге, то это реально вполне. В принципе, если у Вас seo url товаров в админке не заполнялись у товаров категорий, то можно вообще временно переименовать .htaccess в !.htaccess Что б все запросы не шли через redicrector.php файл, это уменьшить нагрузку на базу. Но наугад конечно сложно говорит, может это просто был какой-то всплекс спам роботом, которые пытались реисгтироваться например в магазине и уже всё прошло. Сложно наугад сказать. Но взлом обычно по-другому выглядит, в случае взлома обычно подставляют или редиректы на другие сайты или рекламу какую-то добавляют. Ссылка на сообщение Поделиться на другие сайты
EdZa 1 Опубликовано 9 марта, 2018 Автор Жалоба Share Опубликовано 9 марта, 2018 Согласен, скорее не взлом, а наплыв запросов. Но запросы левые, заказной наплыв ? И письмо, пришедшее ранее, сыграло. Спасибо за отклик. Ссылка на сообщение Поделиться на другие сайты
support 447 Опубликовано 9 марта, 2018 Жалоба Share Опубликовано 9 марта, 2018 1 час назад, EdZa сказал: Согласен, скорее не взлом, а наплыв запросов. Но запросы левые, заказной наплыв ? И письмо, пришедшее ранее, сыграло. Спасибо за отклик. Не за что. По интернету ведь шастает тысячи спам роботов, которые собирают email адреса которые указаны в открытом виде, либо просто заполняют на автомате все попадающиеся формы, ищут всякие уязвимости в формах, логинах, старых версиях cms типа wordpress, спамят в комментах и т.д. и т.п. Видимо, попали под раздачу, под наплыв таких спам роботов. Бывает такое, у меня тоже было как-то. То фековые аккаунты регистрируют, бывает даже, что и фейковые заказы генерируют. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения