Въпрос за постоянна хакерска атака

[v-max]

Здравейте,

нов съм. Имам рутер MIKROTIK RB951U1-2nD  от 1 година. Достъпвам го с WinBox.

Зад него Windows, xampp сървър на който хоствам Wordpress. От месец започна хакерска атака, като хакера използва локалният IP на сървъра 192.168.88.100.

Не се вижда реалното му IP. Моля за насоки , как да разбера от къде идва атаката. Компютърът има Malwarebyts лицензирана.

Дали микротика е хакнат или WinBox или нещо друго.

Ето пример от server access log:

192.168.88.100 - - [15/Mar/2024:14:14:57 +0200] "POST /wp-cron.php?doing_wp_cron=1710504897.6459970474243164062500 HTTP/1.1" 200 -
192.168.88.100 - - [15/Mar/2024:14:15:02 +0200] "POST /wp-admin/admin-ajax.php?action=wp_1_wc_privacy_cleanup&nonce=8e5dc83129 HTTP/1.1" 200 -

 

Моля за насока.

П.С. Моля администраторите да ме извинят ако не съм публикувал на правилното място.

[111111]

Зле конфигурирано апаче

Kак е настроен NAT към web порта

[v-max]

Привет, не съм силен в Микротика. Имам конфигурация настроена ор друг човек. Мода да прикача файл с конфигурацията на рутера, ако ми позволите.

[JohnTRIVOLTA]

преди 56 минути, v-max написа:

Привет, не съм силен в Микротика. Имам конфигурация настроена ор друг човек. Мода да прикача файл с конфигурацията на рутера, ако ми позволите.

Поради каква причина мислите, че имате проблем с мрежовото ви устройство в случая продукт на Микротик, след като проблемите са ви на приложен слой/7ми/?

[Самуил Арсов]

1. Заявката POST идва от IP 192.168.88.100 каква е логиката рутера ти да има нещо общо ако той е с IP 192.168.88.1 ?

2. Знам, че не съм първия който ти го казва но забрави за XAMP и мигрирай на LAMP, ако имаш някакво желание нещо да учиш трябва да оставиш мишката на мира и да влезеш в другия свят.

3. Трябва да инстлираш wp-cli и с него да провериш системните файлове на wordppres например wp checksum core --allow-root, най вероятно там е заровено кучето или да провериш index.php, wp-config.php и wp-settings.php са вкаран код още в началото веднага след <?

[111111]

Към коментара на Самуил добавям:
Пренасочване на неауторизиран достъп към админ часта да се блокира и ограничи.
 

Апачето го замени с Nginx

 

X-Forwarded-For

https://repost.aws/knowledge-center/elb-capture-client-ip-addresses

 

[byte]

Това си е вградения cron на самия WP. 

 

 

[JohnTRIVOLTA]

Ако колегата въпреки всичко продължава да се притеснява то може да ползва услуга , като Cloudflare Zero Trust.

Човека, който коментира първи вашия пост в официалния форум е направил превъзходно видео, как се случва това с подходящ рутер на микротик.

 

[NetworkPro]

Honorable mention Sophos XG

 

 

[111111]

Преди 7 часа, NetworkPro написа:

Honorable mention Sophos XG

 

 

 

[v-max]

14 hours ago, Самуил Арсов said:

1. Заявката POST идва от IP 192.168.88.100 каква е логиката рутера ти да има нещо общо ако той е с IP 192.168.88.1 ?

2. Знам, че не съм първия който ти го казва но забрави за XAMP и мигрирай на LAMP, ако имаш някакво желание нещо да учиш трябва да оставиш мишката на мира и да влезеш в другия свят.

3. Трябва да инстлираш wp-cli и с него да провериш системните файлове на wordppres например wp checksum core --allow-root, най вероятно там е заровено кучето или да провериш index.php, wp-config.php и wp-settings.php са вкаран код още в началото веднага след <?

За т.1 : IP 192.168.88.1 Това e GateWay на рутера. Сървъра е на локално IP 192.168.88.100(хардкоднато в xampp). Така е и в настройката на IPV 4. Иначе не може да се стартира локалният сървър и няма да е видим в интернет. Базова стандартна настройка...

За т3: Word pres, не съм проверил само. wp checksum core --allow-root 

[v-max]

15 hours ago, JohnTRIVOLTA said:

Поради каква причина мислите, че имате проблем с мрежовото ви устройство в случая продукт на Микротик, след като проблемите са ви на приложен слой/7ми/?

За слой 7 , моля за насока, какво имате в предвид и къде да чета. Ще съм Ви благодарен.

[JohnTRIVOLTA]

Преди 1 час, v-max написа:

За слой 7 , моля за насока, какво имате в предвид и къде да чета. Ще съм Ви благодарен.

Има много изписано, но ето ви базово инфо - OSI model. Може сам да намерите нивото на което се намира услугата http/s !

[v-max]

Моля затворете темата. Ще си намеря решение. 

Приятен ден.

[JohnTRIVOLTA]

Преди 1 час, v-max написа:

Моля затворете темата. Ще си намеря решение. 

Приятен ден.

Заповядайте отново. Важното е че сте разбрали, че мрежовото устройство не е проблемно в случая. Макар и тъжен за нацията ден, нека бъде до колкото може приятен и за вас!

[v-max]

Разбрах , че не можете да помогнете и затова поисках да затворите темата.

Важно за Вас: Разбрах, че проблема е в мрежовото устройство. Открих хака и го отстраних. Сложно е да Ви го обясня. Изискват се много познания, които имам...

Редактирано 16 Март от v-max