[SOLUCIONADO] Me estan tratando de hackear la web ?

RSmith · #1 (**permalink**) 28/04/2015, 19:41

Hola gente, perdon si esto no va aca pero me parecio el lugar mas correcto para hacerlo.

Tengo una web que arme en php la cual tiene un sistema de logs, cada vez que una persona ingresa en alguna seccion de la web se guarda esa accion en un .txt. Hoy revisando los .txt encontre algo como esto:

Cita:

IP 46.118.xxx.63 --> 404 Page Not Found --> http://mi-pagina.com/wp-login.php
IP 77.xxx.195.85 --> 404 Page Not Found --> http://mi-pagina.com/cron.sh
IP 112.xxx.0.34 --> 404 Page Not Found --> http://mi-pagina.com/database/bigdump.php
IP 112.xxx.0.34 --> 404 Page Not Found --> http://mi-pagina.com/mysql/bigdump.php
IP 112.xxx.0.34 --> 404 Page Not Found --> http://mi-pagina.com/var/ckeditor/el.../elfinder.html
IP 112.xxx.0.34 --> 404 Page Not Found --> http://mi-pagina.com/admin/assets/el.../elfinder.html
IP 112.xxx.0.34 --> 404 Page Not Found --> http://mi-pagina.com/chat/upload.php
IP 112.xxx.0.34 --> 404 Page Not Found --> http://mi-pagina.com/FILE/plugins/ed....ZohoEditor.js

Y el listado sigue y sigue...
La pagina no es un wordpress, por ende la seccion "wp-admin" no existe. Y en definitiva todas esas secciones/carpetas que estan tratando de entrar no existen. Al parecer las IPs son de estados unidos, korea, reino unido, etc.. son personas reales ? que estan tratando de hacer ? yo he entrado a cada direccion y la pagina lo unico que arroja es un 404 con una imagen que puse yo, no tira ningun error.

Hay alguna manera de restringir el acceso a personas que no sean de argentina ? se que lo puedo hacer con un .htaccess, pero nose si abra alguna otra manera major de hacerlo. Desde ya muchas gracias.

lauser · #2 (**permalink**) 29/04/2015, 05:17

Puedes crear un bash y bloquear todas las ip's de los países que tu consideres.

Código BASH:

Ver original#!/bin/bash
# Purpose: Block all traffic. Use ISO code. #
# En ISO= colocas los paises a bloquear, puedes consultar en...
# www.ipdeny.com/ipblocks/data/countries
# Por defecto china y afganistan
ISO="af cn"
 
### Set PATH ###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep
 
### No editing below ###
SPAMLIST="countrydrop"
ZONEROOT="/root/iptables"
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"
 
cleanOldRules(){
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
}
 
# create a dir
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT
 
# clean old rules
cleanOldRules
 
# create a new iptables list
$IPT -N $SPAMLIST
 
for c  in $ISO
do
     # local zone file
     tDB=$ZONEROOT/$c.zone
 
     # get fresh zone file
     $WGET -O $tDB $DLROOT/$c.zone
 
     # country specific log message
     SPAMDROPMSG="$c Country Drop"
 
     # get 
     BADIPS=$(egrep -v "^#|^$" $tDB)
     for ipblock in $BADIPS
     do
        $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
        $IPT -A $SPAMLIST -s $ipblock -j DROP
     done
done
 
# Drop everything 
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST
 
# call your other iptable script
# /path/to/other/iptables.sh
 
exit 0

Guardas el script como country.block.iptables.sh siendo root. Instalas el script y defines con crontab:

Código BASH:

Ver original@weekly /path/to/country.block.iptables.sh

Iniciar.

Código BASH:

Ver original# /path/to/country.block.iptables.sh

pateketrueke · #3 (**permalink**) 29/04/2015, 07:56

¿Y esto por qué debería publicarse en el foro de PHP?

No veo problemas de código, no veo código.

Aquí no va este tema.