Въпрос за постоянна хакерска атака

[v-max]

Здравейте,

нов съм. Имам рутер MIKROTIK RB951U1-2nD  от 1 година. Достъпвам го с WinBox.

Зад него Windows, xampp сървър на който хоствам Wordpress. От месец започна хакерска атака, като хакера използва локалният IP на сървъра 192.168.88.100.

Не се вижда реалното му IP. Моля за насоки , как да разбера от къде идва атаката. Компютърът има Malwarebyts лицензирана.

Дали микротика е хакнат или WinBox или нещо друго.

Ето пример от server access log:

192.168.88.100 - - [15/Mar/2024:14:14:57 +0200] "POST /wp-cron.php?doing_wp_cron=1710504897.6459970474243164062500 HTTP/1.1" 200 -
192.168.88.100 - - [15/Mar/2024:14:15:02 +0200] "POST /wp-admin/admin-ajax.php?action=wp_1_wc_privacy_cleanup&nonce=8e5dc83129 HTTP/1.1" 200 -

 

Моля за насока.

П.С. Моля администраторите да ме извинят ако не съм публикувал на правилното място.

[JohnTRIVOLTA]

преди 27 минути, v-max написа:

Разбрах , че не можете да помогнете и затова поисках да затворите темата.

Важно за Вас: Разбрах, че проблема е в мрежовото устройство. Открих хака и го отстраних. Сложно е да Ви го обясня. Изискват се много познания, които имам...

Няма такова понятие във форума, като "затваряне" на темата, но можем да я считаме за изчерпана, ако споделите решението, ако не за нас (все пак цял живот се учим) поне за тези посетители на форума с познания!

[Самуил Арсов]

Е бива ли такова нещо сега, така необразовани да ни изоставиш ?

[NetworkPro]

@v-max ако виждаш някъде пролука я затвори тази пролука. Самия WP е една голяма пролука затова не се ползва без WAF или дори не се ползва изобщо. Хората по форумите помагат колкото могат от каквото виждат ако не видят нещо за помагане няма да могат да помогнат. Един сайт може да има много пролуки без да се дискутира внимателно и точно, всяко едно нещо, едва ли ще се достигне до истината, как се затваря като пролука. Така че доста кафе, търпение и характер трябват за да се дискутират такива теми.

 

 

Здравейте,

За да защитите вашата мрежа от хакерски атаки, е важно да предприемете няколко стъпки, които се отнасят както до софтуера, така и до хардуера, който използвате. Ето някои предложения:

Софтуерни настройки и конфигурация:

• Уверете се, че Apache е правилно конфигуриран или помислете за преминаване към Nginx за по-добра производителност и сигурност.
• Редовно актуализирайте WordPress и проверявайте за злонамерен код в основните файлове, използвайки команди като wp checksum core --allow-root.
• Имплементирайте уеб приложен фаеруол (WAF) за защита на WordPress.
• Обмислете миграция от XAMPP към LAMP за по-сигурна среда.

Хардуер и мрежови настройки:

• Прегледайте конфигурацията на NAT към уеб порта и се уверете, че е сигурна.
• Проверете за възможни грешки в настройките на рутера MikroTik. Ако не сте сигурни, потърсете професионална помощ или се обърнете към официалната документация/наръчници.

Допълнителни мерки за сигурност:

• Използвайте услуги като Cloudflare Zero Trust, за да добавите допълнителен слой сигурност.
• Редовно следете логовете на сървъра за необичайни дейности или IP адреси.

Също така, може да разгледате видеото за настройка на MikroTik CloudFlare ZeroTrust тунел, което може да ви бъде полезно.

По отношение на забележките във вашите логове, изглежда, че атаките са насочени към WordPress. Важно е да проверите дали има някакъв злонамерен код въведен във вашите WordPress файлове, особено в index.php, wp-config.php и wp-settings.php. Това може да се направи с помощта на wp-cli, както е споменато в коментарите.

Надявам се тези насоки да са ви полезни. Успех с укрепването на сигурността на вашата мрежа!

Редактирано 17 Март от NetworkPro