Анализ логов сайта на предмет попыток взлома сайта

Если вы видите в своих логах нечто подобное похожее на подбор URL в надежде попасть на страницу администратора/редактора, то смело блокируйте этот IP адрес! В нашем случае – это 198.204.230.130.

Защитите паролем дирректорию администратора!

Обратите внимание на промежутки времени, через которые происходят запросы: разница между запросами составляет менее 1 секунды! Это явно работает робот и перебирает все известные ему пути к админпанели всех известных ему CMS (жирным шрифтом в конце строки).

[Thu Jul 16 06:19:57 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/Editor
[Thu Jul 16 06:19:57 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/assetmanager
[Thu Jul 16 06:19:57 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/editor
[Thu Jul 16 06:19:58 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/assetmanager
[Thu Jul 16 06:19:58 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/adminsys
[Thu Jul 16 06:19:59 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/admin
[Thu Jul 16 06:19:59 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/gcassetmanager
[Thu Jul 16 06:19:59 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/beheer
[Thu Jul 16 06:19:59 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/ftpmanager
[Thu Jul 16 06:19:59 2015] [error] [client 198.204.230.130] File does not exist: /home/uzer/domain/site.com/public_html/admin

В случае удачи, роботу останеться подобрать логин и пароль и злоумышленник получит доступ к Вашему сайту. Всё это не так просто, но зачем рисковать?

В принципе, по своему опыту сужу, любые запросы каким-то чётким интервалом (например, каждую секунду, каждые две-три и так далее секунды) говорит о том, что работает программа-робот, а не человек. Я в таких случаях проверяю IP адрес на его принадлженость (http://2ip.ru/whois/) и по результату проверки блокирую либо нет. Но в 99% случаях я блокирую такие IP.

Например, я считаю, что мой сайт не может очень сильно интересовать IP адрес из Аргентины или Китая. Мой сайт создан для русскоязычного сегмента интернет (Россия, Украина, Беларусь и др.), потому сомнительные IP из всяких там Сингапуров и Венесуэл я беспощадно блокирую, чего и вам желаю.

Лучше перебдеть, чем недобдеть.