OpenCart webáruházak elleni támadások 2022. 08.

Észlelt tevékenységek

2022 augusztusában több OpenCart áruháznál észleltük, hogy különböző ip címről érkezik folyamatos, nagy számú kérés a webáruház/admin/ urlre.

87.236.103.39 – – [04/Aug/2022:10:29:20 +0200] “POST /admin/ HTTP/1.1” 508 288 “-” “valamilyenbongeszo”
185.27.20.65 – – [04/Aug/2022:10:29:20 +0200] “POST /admin/ HTTP/1.1” 508 288 “-” “valamilyenbongeszo”
174.138.62.18 – – [04/Aug/2022:10:28:58 +0200] “POST /admin/ HTTP/1.1” 404 27729 “-” “valamilyenbongeszo”
162.241.126.173 – – [04/Aug/2022:10:28:58 +0200] “POST /admin/ HTTP/1.1” 404 27729 “-” “valamilyenbongeszo”
138.97.220.166 – – [04/Aug/2022:10:28:57 +0200] “POST /admin/ HTTP/1.1” 404 27729 “-” “valamilyenbongeszo”
163.172.53.199 – – [04/Aug/2022:10:29:22 +0200] “POST /admin/ HTTP/1.1” 508 288 “-” “valamilyenbongeszo”
35.184.31.116 – – [04/Aug/2022:10:29:22 +0200] “POST /admin/ HTTP/1.1” 508 288 “-” “valamilyenbongeszo”
68.183.63.67 – – [04/Aug/2022:10:29:23 +0200] “POST /admin/ HTTP/1.1” 508 288 “-” “valamilyenbongeszo”
207.180.242.53 – – [04/Aug/2022:10:29:01 +0200] “POST /admin/ HTTP/1.1” 404 27729 “-” “valamilyenbongeszo”
177.52.173.20 – – [04/Aug/2022:10:29:02 +0200] “POST /admin/ HTTP/1.1” 404 27729 “-” “valamilyenbongeszo”

185.103.242.173 – – [05/Aug/2022:10:38:03 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
165.22.218.82 – – [05/Aug/2022:10:38:05 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
176.12.44.213 – – [05/Aug/2022:10:38:05 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
61.125.131.88 – – [05/Aug/2022:10:38:11 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
128.199.103.229 – – [05/Aug/2022:10:38:11 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
51.210.70.42 – – [05/Aug/2022:10:38:13 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
158.140.185.205 – – [05/Aug/2022:10:38:14 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
128.199.103.229 – – [05/Aug/2022:10:38:15 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
212.47.227.85 – – [05/Aug/2022:10:38:15 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
61.7.231.226 – – [05/Aug/2022:10:38:17 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”
54.37.148.121 – – [05/Aug/2022:10:38:17 +0200] “GET /admin/ HTTP/1.1” 404 2329 “http://ezegyopencartwebaruhaz/admin/” “valamilyenbongeszo”

Ilyen esetben a webáruház üzemeltetője illetve látogatója Resource Limit is Reached üzenetet láthat a webáruház megnyitásakor. Lehetséges, hogy az oldal csak szakaszosan lesz elérhető.

A robotok kiszűrésére az elsődleges lépeseket megtettük a szerverek WAF konfigurációjában, azonban webáruház üzemeltetőként is tudunk ezek ellen a robotok ellen tenni a szolgáltató közbenjárása nélkül.

Mit tehetünk, ha cPaneles csomagunk van?

Ha apache webkiszolgálóval működik a cPaneles csomagunk, akkor a wordpress-login-htaccess-vedelem-cpanelen leírásunkban bemutatott módon felhasználónévvel és jelszóval láthatjuk el az admin mappát. Ezáltal a kéréseket már a webszerver el tudja dobni (helyes felhasználónév és jelszó hiánya esetén), nem szükséges megvárni a feldolgozásban azt, amíg átadja a kérést a php feldolgozónak, az pedig valamilyen végeredménnyel visszatér. Ezáltal csökken a weboldal erőforrás igénye és több marad a tényleges látogatók kiszolgálására.

Különösen ajánlott ez akkor, ha korábban bármilyen ok miatt kikapcsoltuk a domainhez a ModSecurity -t, amely a WAF része, így az oldal védelmét csökkentettük.