• 22-10-2021, 21:58:12
    #1
    Merhabalar,

    Son zamanlarda
    /admin/ sayfasına Bruteforce (şifre denemesi) ile bir çok opencart internet siteme saldırı geliyor son 12 saatte sadece bana gelen saldırıların toplamı 80 bini geçti. Muhtemelen bir çoğunuzda yaşıyordur ve bir çoğunuz da farkında değilsinizdir (Yeterli büyüklükte sunucunuz var ise bu saldırıyı fark bile etmeyeceksiniz)

    Bu saldırıyı yapan kişileri tanımıyorsunuz muhtemelen çünkü her yere yapıyorlar araştırdığıma göre.

    Test Edilenler:
    - Bu saldırı onlarca ülkeden (Türkiye dahil) binlerce farklı IP adresinden geldiği için yurt dışına kapatmak kesin çözüm değildir (Türkiye'den gelen saldırıların çoğunun sağlayıcısı NETINTERNET, bana gelen IP'leri sağlayıcılara bildireceğim).
    - Bu saldırı sizin en düşük rate limitlerinizi bile doldurmadığı için DDoS attack olarak algılanmıyor. (Bir IP nin bir sonraki POST denemesi minimum 30 saniye ortalama 5 dakika sonra)
    - Bu IP'lerin hepsini blacklistinize almanız oldukça zor (eklediğinizde ise sunucunun geç yanıt süresi sorunu ile karışaşabilirsiniz)
    - "ConfigServer Security & Firewall" Bu konuda neredeyse hiç bir işe yaramıyor.

    Yorumlarda bulunan arkadaşlardan ötürü konu baltalandığı için şöylece bilgilendireyim:

    Webmerkezi adlı üyeden alıntı: mesajı görüntüle
    Sözüm meclisden dışarı öncelikle yapılmak istenen ticarete saygısızlığınız için teşekkürler.


    Gelen saldırılarda kullanılan User-Agent
    Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
    Araştırdığınızda aynı user agenti kullanan Opencart Brute Force botlarını görebilirsiniz.
    Buradan yola çıkarak da kullanılan scripte göre düzenleme işlemi yapabilirsiniz.
    Bkz display:none olarak Logout kelimesi de bunlardan biridir
    Bu işlem karşı tarafın saldırı sisteminde "Doğru Şifreyi Buldum" dedirtip scripti durduruyor fakat aslında doğru şifreye ulaşamadı. Çok fazla IP den geldiği ve hepsinden anında gelmediği için hepsinin durması biraz zaman alabiliyor.

    Cloudflare User-Agent engeli, botlardan ayıklanan bir kaç kelime gibi geri kalan uygulanacak adımlar vb. buradaki yazan arkadaşlara ulaşarak öğrenebileceğinizi düşünüyorum. Umarım sorununuz çözülür.
  • 22-10-2021, 22:02:34
    #2
    dun bı kac saat kapalı kaldı sıte acaba ondanmı kaynaklı bılemedım ama bende saldıraya daır bır ıbarede yok ))
  • 22-10-2021, 22:05:06
    #3
    EdirneHaber adlı üyeden alıntı: mesajı görüntüle

    vallahi biz o işi 10 sene önce çözmüştük sizin de çözmenize sevindik panel olarak ne kullanıyorsunuz
    cPanel,
    Bizide aydınlatın belki mevcut çözüme daha çok yardımcı olur.
    Her bir sonraki denemesi farklı bir IP den olan ve hala net olarak hesaplayamadığım kadar IP adresinden (sürekli arttığı için) POST yapabilen bir saldırgan. Üstelik bu IP lere kendi ülkeniz de dahil. Buyurun dinliyorum.
  • 22-10-2021, 22:07:01
    #4
    admin url i değiş rahatlarsın belki
  • 22-10-2021, 22:09:26
    #5
    L0pht adlı üyeden alıntı: mesajı görüntüle
    admin url i değiş rahatlarsın belki
    POST durmaksızın devam ediyor. Sunucuya gereksiz trafik geliyor bu çözümde

    @Atahan56;
    Son loglarınıza baktığınızda /admin/ sayfanıza çok fazla farklı IP den POST işlemi olmuşsa bundan olabilir.
  • 22-10-2021, 23:48:27
    #6
    İlaç firması kokusu aldım 😁 önce virüsü üret sonra aşısını çıkart.

    Sizin ki de o hesap korkuyu ver,hizmeti sat.

    Böyle düşünüyorum çünkü 300ün üzerinde müşterim var hiçbir problem veya saldırı tespitim yok.

    Çok zor değil recaptcha, cloudflare birleşimi ile sorun çözülür.
  • 23-10-2021, 00:14:04
    #7
    fskgrup adlı üyeden alıntı: mesajı görüntüle
    İlaç firması kokusu aldım 😁 önce virüsü üret sonra aşısını çıkart.

    Sizin ki de o hesap korkuyu ver,hizmeti sat.

    Böyle düşünüyorum çünkü 300ün üzerinde müşterim var hiçbir problem veya saldırı tespitim yok.

    Çok zor değil recaptcha, cloudflare birleşimi ile sorun çözülür.
    Bunu ima etmeye çalışan ikinci kişisiniz sevgili hocam, fakat sorun yaşayanlarda mevcutmuş, opencart forumunda da denk geldim bu tarz sorun yaşayanlara.
    Kendi derdimize derman olurken de üç beş kuruş kazanırız belki dedik hem burada yorum yapanlar hem de mesaj atanlardan herkes ne çok bilmiş çıktı arkadaş.

    Sözüm meclisden dışarı öncelikle yapılmak istenen ticarete saygısızlığınız için teşekkürler.


    Gelen saldırılarda kullanılan User-Agent
    Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
    Araştırdığınızda aynı user agenti kullanan Opencart Brute Force botlarını görebilirsiniz.
    Buradan yola çıkarak da kullanılan scripte göre düzenleme işlemi yapabilirsiniz.
    Bkz display:none olarak Logout kelimesi de bunlardan biridir
    Bu işlem karşı tarafın saldırı sisteminde "Doğru Şifreyi Buldum" dedirtip scripti durduruyor fakat aslında doğru şifreye ulaşamadı. Çok fazla IP den geldiği ve hepsinden anında gelmediği için hepsinin durması biraz zaman alabiliyor.

    Cloudflare User-Agent engeli, botlardan ayıklanan bir kaç kelime gibi geri kalan uygulanacak adımlar vb. buradaki yazan arkadaşlara ulaşarak öğrenebileceğinizi düşünüyorum. Umarım sorununuz çözülür.

    KONU KİLİTLENECEKTİR