Jump to content
  • 0

Въпрос за постоянна хакерска атака


v-max

Въпрос

Здравейте,

нов съм. Имам рутер MIKROTIK RB951U1-2nD  от 1 година. Достъпвам го с WinBox.

Зад него Windows, xampp сървър на който хоствам Wordpress. От месец започна хакерска атака, като хакера използва локалният IP на сървъра 192.168.88.100.

Не се вижда реалното му IP. Моля за насоки , как да разбера от къде идва атаката. Компютърът има Malwarebyts лицензирана.

Дали микротика е хакнат или WinBox или нещо друго.

Ето пример от server access log:

192.168.88.100 - - [15/Mar/2024:14:14:57 +0200] "POST /wp-cron.php?doing_wp_cron=1710504897.6459970474243164062500 HTTP/1.1" 200 -
192.168.88.100 - - [15/Mar/2024:14:15:02 +0200] "POST /wp-admin/admin-ajax.php?action=wp_1_wc_privacy_cleanup&nonce=8e5dc83129 HTTP/1.1" 200 -

 

Моля за насока.

П.С. Моля администраторите да ме извинят ако не съм публикувал на правилното място.

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор

Зле конфигурирано апаче

Kак е настроен NAT към web порта

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Привет, не съм силен в Микротика. Имам конфигурация настроена ор друг човек. Мода да прикача файл с конфигурацията на рутера, ако ми позволите.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 56 минути, v-max написа:

Привет, не съм силен в Микротика. Имам конфигурация настроена ор друг човек. Мода да прикача файл с конфигурацията на рутера, ако ми позволите.

Поради каква причина мислите, че имате проблем с мрежовото ви устройство в случая продукт на Микротик, след като проблемите са ви на приложен слой/7ми/?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

1. Заявката POST идва от IP 192.168.88.100 каква е логиката рутера ти да има нещо общо ако той е с IP 192.168.88.1 ?

2. Знам, че не съм първия който ти го казва но забрави за XAMP и мигрирай на LAMP, ако имаш някакво желание нещо да учиш трябва да оставиш мишката на мира и да влезеш в другия свят.

3. Трябва да инстлираш wp-cli и с него да провериш системните файлове на wordppres например wp checksum core --allow-root, най вероятно там е заровено кучето или да провериш index.php, wp-config.php и wp-settings.php са вкаран код още в началото веднага след <?

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Към коментара на Самуил добавям:
Пренасочване на неауторизиран достъп към админ часта да се блокира и ограничи.
 

Апачето го замени с Nginx

 

X-Forwarded-For

https://repost.aws/knowledge-center/elb-capture-client-ip-addresses

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Ако колегата въпреки всичко продължава да се притеснява то може да ползва услуга , като Cloudflare Zero Trust.

Човека, който коментира първи вашия пост в официалния форум е направил превъзходно видео, как се случва това с подходящ рутер на микротик.

 

  • Благодаря 1
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 7 часа, NetworkPro написа:

Honorable mention Sophos XG

 

 

 

Изображение

  • Хаха 1
Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
14 hours ago, Самуил Арсов said:

1. Заявката POST идва от IP 192.168.88.100 каква е логиката рутера ти да има нещо общо ако той е с IP 192.168.88.1 ?

2. Знам, че не съм първия който ти го казва но забрави за XAMP и мигрирай на LAMP, ако имаш някакво желание нещо да учиш трябва да оставиш мишката на мира и да влезеш в другия свят.

3. Трябва да инстлираш wp-cli и с него да провериш системните файлове на wordppres например wp checksum core --allow-root, най вероятно там е заровено кучето или да провериш index.php, wp-config.php и wp-settings.php са вкаран код още в началото веднага след <?

За т.1 IP 192.168.88.1 Това e GateWay на рутера. Сървъра е на локално IP 192.168.88.100(хардкоднато в xampp). Така е и в настройката на IPV 4. Иначе не може да се стартира локалният сървър и няма да е видим в интернет. Базова стандартна настройка...

За т3: Word pres, не съм проверил само. wp checksum core --allow-root 

Адрес на коментара
Сподели в други сайтове

  • 0
15 hours ago, JohnTRIVOLTA said:

Поради каква причина мислите, че имате проблем с мрежовото ви устройство в случая продукт на Микротик, след като проблемите са ви на приложен слой/7ми/?

За слой 7 , моля за насока, какво имате в предвид и къде да чета. Ще съм Ви благодарен.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 1 час, v-max написа:

За слой 7 , моля за насока, какво имате в предвид и къде да чета. Ще съм Ви благодарен.

Има много изписано, но ето ви базово инфо - OSI model. Може сам да намерите нивото на което се намира услугата http/s !

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 1 час, v-max написа:

Моля затворете темата. Ще си намеря решение. 

Приятен ден.

Заповядайте отново. Важното е че сте разбрали, че мрежовото устройство не е проблемно в случая. Макар и тъжен за нацията ден, нека бъде до колкото може приятен и за вас!

Адрес на коментара
Сподели в други сайтове

  • 0
Отговорено (Редактирано)

Разбрах , че не можете да помогнете и затова поисках да затворите темата.

Важно за Вас: Разбрах, че проблема е в мрежовото устройство. Открих хака и го отстраних. Сложно е да Ви го обясня. Изискват се много познания, които имам...

Редактирано от v-max
Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.