[archizona]

сегодня смотрела логи ошибок своего сайта.
[Tue Sep 21 22:40:37 2010] [error] [client 125.235.241.132] File does not exist:/public_html/test/FCKeditor/editor/filemanager/connectors/uploadtest.html
[Wed Sep 22 07:55:29 2010] [error] [client 202.108.5.35] File does not exist:/public_html/test/admin/FCKeditor/editor/filemanager/connectors/uploadtest.html
[Wed Sep 22 16:54:14 2010] [error] [client 222.89.92.106] File does not exist:/public_html/test/admin/fckeditor/editor/filemanager/connectors/uploadtest.html

почитала об этом FCKeditor и поняла, что это что-то вроде взлома уязвимости. Только не поняла зачем это нужно? Из хулиганских побуждений или что-то залить на мой сайт? Удалась ли эта атака? И нужно ли от этого как-то защищаться? и с каких щей ИП каждый раз разный?

[74ivan74]

IP разный может быть по разным причинам, можно запретить доступ с чужих ip и разрешить только себе.
файл .ftpaccess в корень сайта.
http://llyn.biz/view172
+ не хранить фтп пароли в фтп программе, менеджере или как там его, проверить свой комп на вирусы, черви и пр. *уйню.

[archizona]

понятно. Если я запрещу доступ к фтп по всем ип как я смогу обратно все поменять?Ведь фтп и для меня закроется?

[74ivan74]

Я же написал, что в .ftpaccess нужно разрешить доступ себе а остальным запретить.

Цитата:

<Limit ALL>
Allow from xx.xx.xx.xx (Ваш ip)
Deny from all
</Limit>

[vitaly-go]

Цитата:

Сообщение от archizona

понятно. Если я запрещу доступ к фтп по всем ип как я смогу обратно все поменять?Ведь фтп и для меня закроется?

постоянный IP например на "шпароком дамавике" стоит 12тр в месяц

[Асмодиан]

archizona, вас пытались взломать... ftp тут не при чём. Есть такой редактор текстовой: FCK Editor (аналог TinyMCE), у него есть аплоадер файлов, и видимо, в нём есть баг...
Вот по этому багу и пытались простучаться....
А у вас есть FCKEditor? если нет, то атака явно была безуспешной...

[Ni_Splinter]

Получается, если и у меня есть в ошибках такая строчка - пытались сломать ?

[Wed Sep 22 09:54:43 2010] [error] [client 10.1.0.251] File does not exist: ....../docs/crossdomain.xml
[Wed Sep 22 10:01:04 2010] [error] [client 10.1.0.251] File does not exist: ......./docs/test/admin/FCKeditor/editor/filemanager/connectors/uploadtest.html


И сразу прошу прощения за вопрос - А как понять, что атака была успешной ?

Добавлено через 15 часов 48 минут

Сформулирую вопрос по другому:
если
- чужой код не обнаружен
- размеры файлов и даты их изменений совпадают с резервной копией
- новых пользователей не появилось
- на всякий случай проверены права для папок (755) и файлов (644)
- подозрительного в логах больше ничего не вижу

можно уже расслабляться или что-то я упустила?

[ZIG-ZAG]

Не паникуйте Так всегда было, есть и будет. Это ползают боты и ищут админки, уязвимости и т.д и т.п.

Вот мой логи за последние два дня.

Вчера
[Thu Sep 23 01:33:12 2010] [error] [client 95.84.211.154] File does not exist: /docs/netcat/admin/
[Thu Sep 23 01:33:12 2010] [error] [client 95.84.211.154] File does not exist: /docs/bitrix/admin/
[Thu Sep 23 01:33:12 2010] [error] [client 95.84.211.154] File does not exist: /docs/admin.php
[Thu Sep 23 01:33:13 2010] [error] [client 95.84.211.154] File does not exist: /docs/login.php
[Thu Sep 23 01:33:13 2010] [error] [client 95.84.211.154] File does not exist: /docs/cms/kernel/admin.php
[Thu Sep 23 01:33:14 2010] [error] [client 95.84.211.154] File does not exist: /docs/cms/admin/index.php
[Thu Sep 23 01:33:14 2010] [error] [client 95.84.211.154] File does not exist: /docs/_admin/
[Thu Sep 23 01:33:18 2010] [error] [client 95.84.211.154] File does not exist: /docs/js/easy.php
[Thu Sep 23 01:33:18 2010] [error] [client 95.84.211.154] File does not exist: /docs/admin/content/sitetree/
[Thu Sep 23 01:33:18 2010] [error] [client 95.84.211.154] File does not exist: /docs/domain/admin/
[Thu Sep 23 01:33:18 2010] [error] [client 95.84.211.154] File does not exist: /cgi/CMS/getcontent.cgi
[Thu Sep 23 01:33:18 2010] [error] [client 95.84.211.154] File does not exist: /docs/CMS/getcontent.cgi
[Thu Sep 23 01:33:18 2010] [error] [client 95.84.211.154] File does not exist: /docs/manager/
[Thu Sep 23 01:33:18 2010] [error] [client 95.84.211.154] File does not exist: /docs/manager/includes/accesscontrol.inc.php
[Thu Sep 23 01:33:19 2010] [error] [client 95.84.211.154] File does not exist: /docs/manager/actions/access_permissions.dynamic.php
[Thu Sep 23 01:33:19 2010] [error] [client 95.84.211.154] File does not exist: /docs/admin/
[Thu Sep 23 01:33:19 2010] [error] [client 95.84.211.154] File does not exist: /docs/hostcmsfiles/main.js
[Thu Sep 23 01:33:19 2010] [error] [client 95.84.211.154] File does not exist: /docs/engine/engine.php
[Thu Sep 23 01:33:19 2010] [error] [client 95.84.211.154] File does not exist: /docs/wp-login.php
[Thu Sep 23 01:33:23 2010] [error] [client 95.84.211.154] File does not exist: /docs/wp-login.php
[Thu Sep 23 01:33:23 2010] [error] [client 95.84.211.154] File does not exist: /docs/administrator/
[Thu Sep 23 01:33:23 2010] [error] [client 95.84.211.154] File does not exist: /docs/administrator/
[Thu Sep 23 01:33:23 2010] [error] [client 95.84.211.154] File does not exist: /docs/typo3/index.php
[Thu Sep 23 01:33:23 2010] [error] [client 95.84.211.154] File does not exist: /docs/typo3/index.php
[Thu Sep 23 01:33:23 2010] [error] [client 95.84.211.154] File does not exist: /docs/typo3/index.php
[Thu Sep 23 01:33:23 2010] [error] [client 95.84.211.154] File does not exist: /docs/admin/login.php

Сегодня
[Fri Sep 24 16:31:56 2010] [error] [client 205.209.140.142] File does not exist: /docs/test/include/fckeditor/editor/filemanager/connectors/uploadtest.html

Плюс на одном проекте постоянный "мини" DDoS каждые 2 секунды запрос с одного IP и не чего, живём.

И по делу
Когда Вы найдёте в логах с ошибками, такую "бяку". Возьмите этот IP и в основном логе ищите этот IP и смотрите, везде ли сервер ответил кодом 404. Если да, то всё хорошо. Если нет, тогда уже нужно смотреть, куда именно он добрался и что делал.