Come impedire che il mio sito venga violato imparando dal log del server?

Naviga le tue risposte
0

Il mio sito è stato hackerato oggi e sono stato anche in grado di trovare il punto di iniezione nel mio sito. Sto lavorando su come prevenirlo in futuro.

Questo è il mio log del server: 

8.37.230.5 - -  "POST /admin/images/uploads/pro_01-04rin.php HTTP/1.1" 200 38597
"http://mywebsite.com/admin/images/uploads/pro_01rin.php"
"Mozilla/5.0 (Linux; U; Android 4.4.2; en-US; SM-G313HZ Build/KOT49H)
AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0
UCBrowser/10.10.8.820 U3/0.8.0 Mobile Safari/534.30"

Quello che so:

  • Ho rintracciato questo IP 8.37.230.5 ma non porta da nessuna parte perché ogni hacker utilizza qualche tipo di proxy, quindi sicuramente questo è un IP falso.
  • Informazioni sull'agente utente sono Mozilla / 5.0 (Linux; U; Android 4.4.2; AppleWebKit / 534.30 UCBrowser / 10.10.8.820 U3 / 0.8.0 Mobile Safari / 534.30)

Le mie domande:

  • Se ogni hacker utilizza il proxy, qual è il vantaggio di ottenere questo IP nel registro del server?
  • C'è qualche altro modo per ottenere il vero IP dell'utente da qualsiasi modifica nel mio sito web in modo che io possa identificare chi ha fatto questo?
  • Come puoi vedere in user-agent, ci sono Android 4.4.2 e UCBrowser / 10.10.8.820 . Cosa significa questo? Hanno hackerato il mio sito web da UC Browser in Android 4.4.2?

Ne ho cercato su Google, ma senza fortuna.

    
posta Tej 23.12.2017 - 12:14
fonte

1 risposta

3

  1. L'indirizzo IP passa a Quantil Networks . Quantil è il datacenter per UCWeb , il creatore di UC Browser (useragent utilizzato). Questa è un'informazione molto utile.

  2. Ci sono modi per usare Java per smascherare un utente proxy, ma non sono infallibili. Ci sono molti domande qui su come farlo.

  3. Un parser useragent online restituisce:

    UC Browser 10 su Android (KitKat) Samsung SM-G313HZ

Gli useragent possono essere facilmente modificati o falsificati, ma questo è ciò che questo useragent significa, reale o no. Dato da dove proviene l'IP, è probabile che sia accurato.

Nessuna di queste cose preverrà attacchi in futuro, ma aiutano a capire chi ha inviato un attacco questo . Sembra un utente UCBrowser su un dispositivo Samsung che utilizza il proxy UCWeb. Potresti provare a segnalare questo comportamento di abuso a UCWeb e potrebbero essere in grado di esaminarlo ulteriormente.

    
risposta data 23.12.2017 - 12:32
fonte

Leggi altre domande sui tag

Quali sono alcune idee di progetto interessanti che utilizzano l'apprendimento automatico per risolvere problemi di sicurezza IOT? [chiuso] Utilizzo di parti non crittografate del file crittografato per recuperare la password (7zip)