Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Как они читают логи доступа?
 
Ситуация:
Просматриваю лог доступа к сайту. Неожиданно нахожу запросы к админке с внешних IP. Смотрю принадлежность IP - в основном Яндексовая, есть еще некоторые другие.
Меняю директорию, где сидит админка. Через несколько дней в логах доступа опять запросы к админке уже по новому адресу.
Проделываю танцы с бубном по смене директории админки еще раз - та же история.
Имя директории - не "admin". На админку нет ссылок в сайте ни в одном месте, она доступна только если знать имя ее директории.
Единственное объяснение - кто-то извне умеет читать логи доступа.
Как? Как закрыться от этого?
 
 

Логи Яндекс точно не читает )

 

Если Яндекс ходит по секретным ссылкам, то вы сами эти ссылки ему сообщаете. Поисковик может узнать о существовании секретной директории следующим способом:

 
  1. Пользователи админки пользуются браузером/плагином к браузеру, который сливает путь к админке Яндексу.

  2. На сайте есть аналитика от Яндекса, которая сообщает поисковику о посещенных страницах. Даже если счетчики не висят в админке, проследить откуда пользователь пришел можно по файлам куки или по заголовкам (например HTTP Referer)

  3. Вы делитесь ссылками на админку через мессенджер/почту Яндекса. Например при отправке ссылки через скайп, робот скайпа пойдет по ссылке. Такое поведение может наблюдаться и для других мессенджеров.

Насчет закрыться, внедрите дополнительный уровень авторизации (например откройте доступ к админке только для определенного списка IP адресов, или повесьте дополнительную авторизцию по логину/паролю, например, HTTP basic или же авторизацию по личному SSL сертификату).

     
 
1. Плагины не выношу как класс, плагинов нет.
2. На сайте аналитика Яндекса есть, в админке, естественно, нет. Веду самоконтроль, в админку вхожу только с чистого листа (с новой закладки).
3. Как будто бы не делюсь, во всяком случае не припомню такого.
Реально наблюдаю практически повтор вызовов тех скриптов, на которые я явно заходил сам в админке накануне, т.е. явное слизывание лога доступа и тупой повтор вызова скрипта со всеми его параметрами.
Скрипты админки закрыты от внешнего исполнения, поэтому вопрос у меня получается чисто познавательный.

Насчет куков - может быть ... Анализируют имеющиеся куки и выдергивают подходящие? Но сильно смущает 100% повтор исполнения команд, прописанных в логе доступа.
 
Цитата
tred
в админку вхожу только с чистого листа (с новой закладки).
А из админки на сайт переходите по ссылке, например? Браузер может отправлять referer страницы. И кстати какой браузер?
 
В принципе, такое возможно, хотя стараюсь таких переходов тоже не делать.
Браузер IE, обычно последних версий.
В общем, вы считаете, что логи никаким образом читаться не могут (если, конечно, исключить, сидение на сервере сайта засланного казачка-вируса, но слабо верится в такое со стороны Яндекса, к тому же чтение наблюдалась не только от него, но и еще с пары других адресов)?
 
Цитата
tred
В общем, вы считаете, что логи никаким образом читаться не могут
Да, именно так. Яндекс не будет взламывать ваш сервер, чтобы читать логи. Для сбора статистики они используют другие законные методы. В вашем случае это скорее всего Яндекс.Метрика.
 
Попробовать отключить и проверить, чем кончится?
Но вот смотрю последнюю сводку - в админку лезут с IP 176.192.198.155 -  RIPE Network Coordination Centre (RIPE), Амстердам, Нидерланды. Эти-то каким образом директорию админки прознали?
 

Попробуйте отключить, сменить адрес админки и посмотреть, будут заходы еще или нет. Если будут, то какой-то софт на вашем комьютере сливает хистори браузера.

176.192.198.155 - не совсем Амсетрдам )

Tracing route to ip-176-192-198-155.bb.netbynet.ru [176.192.198.155]
over a maximum of 30 hops:

 1    <1 ms    <1 ms    <1 ms  vl6.gw1.isgr.hc.ru [89.104.91.253]
 2    <1 ms    <1 ms    <1 ms  vl35.m9-r1.nic.ru [89.111.161.177]
 3    <1 ms    <1 ms    <1 ms  vl533.m9-r2.nic.ru [89.111.161.157]
 4     1 ms    <1 ms    <1 ms  netbynet.w-ix.net [193.106.112.146]
 5    24 ms     1 ms     1 ms  212.1.243.218
 6     4 ms     4 ms     2 ms  ip-176-192-198-155.bb.netbynet.ru [176.192.198.1
55]

Trace complete.

Это скорее всего какой-то робот того же Яндекса.

 
Спасибо, попробую пройти таким путем.
 
Цитата
TeckLord .... 176.192.198.155 - не совсем Амсетрдам )

...
Совсем не Амстердам. :)
inetnum:        176.192.0.0 - 176.193.255.255
netname:        NBN-NET
descr:          Net By Net Holding LLC country:        RU
Пока красота спасёт мир, уроды его погубят
 
Любопытно. Я смотрю на сайте https://www.reg.com/whois/, там написано Амстердам. А у вас откуда информация, если не секрет?
 
http://centralops.net/co/
Пока красота спасёт мир, уроды его погубят
Страницы: 1
Читают тему (гостей: 1)