Хакерский трафик и Nano-CMS.

О хакерском трафике.

В связи с тем, что в Сети расплодилось множество сайтов на базе сложных CMS типа Друпал, Вордпресс и Джумла, которые довольно легко взламываются, если их своевременно не обновлять, всегда сыщутся любители такого взлома. Таковы реалии.

Конечно, никто не будет сидеть, и вручную тестировать сайт на уязвимости. Для этого существуют боты - им просто скармливается база доменов, а также прописывается последовательность действий, которые необходимо применить к сайту для обнаружения той или иной уязвимости.

Если Ваш сайт имеет невысокий траст, он никому не интересен. А вот к трастовому сайту ежедневно обращаются сотни раз по весьма затейливым URL-ам, да ещё и с GET и POST запросами.

Кроме как через статистику хостера, этого и не заметить.
Но кто ж её там когда смотрит?

Чтобы следы хакерских атак не оставались незамеченными, абсолютно все GET и POST запросы записываются Любопытствующей Наной в папку логов ./data/modules/stat/logs/ с именами файлов наподобие таких:

   ./data/logs/data.post.2018-12.txt
   
./data/logs/data.get.2018-12.txt

Нетрудно видеть, что лог организован помесячно, и внутри себя содержит массивы передаваемых данных с метаинформацией. Например, вот одна из таких записей:

   time 2016-04-11 10:22:32
   ip   
31.184.238.200
   from 
https://nanocms.name/admin/connect.htm
   
to   https://nanocms.name/admin/connect.htm
   
data =>
      
o5gc5k66493c072e6a6f1e9bef465b6b => SRYrkCrUdSKtG
      o5gc5kde3ec3acca7172256dcc89bf92 
=> 
      
o5gc5k0b40460f06280562a70c7ccd97 => kLHpvUfqKSJ
      o5gc5k1bda107bf7a838515fee1b0d0e 
=> BHHWe8  <a href="http://lxttxsymrluf.com/" rel="nofollow">lxttxsymrluf</a>, [url=http://pqrvlahcoacp.com/]pqrvlahcoacp[/url], [link=http://azrgalnacamg.com/]azrgalnacamg[/link], http://gcesjqcejkup.com/
      
o5gc5kcb065bef041e41c34bfa429520 => Отослать сообщение Администратору сайта

К собственно хакерству это отношения не имеет.
Тут через форму обратной связи пытался пробиться Хрумер.

Из записи видно, что фиксируется для каждого такого случая:

  1. Серверное время воздействия на сайт.
  2. IP-адрес атакующего.
  3. URL, с которого переданы данные (если установлен).
  4. URL Вашего сайта, принявшего запрос.
  5. Собственно переданные данные, с ключами и значениями.

В случае формы обратной связи ключи несколько странные (для данного движка это нормально, и так и задумано), а вот значения, засылаемые Хрумером, наглядно демонстрируют IQ пользователей Хрумера.

Лог реальных хакерских воздействий будет содержать "ломаемые" ими URL-ы сайта, а так же адреса эксплойтов (обычно там сидит код на JavaScript), подсовываемые сайту через предполагаемую уязвимость POST или GET методом. Естественно, такие вещи тут не публикуются.

Управление логгированием хакерского трафика.

Осуществляется вот этими ключами в файле настроек:

   'hack-get'  => true,  # true - вести лог GET  запросов, false - нет.
   
'hack-post' => true,  # true - вести лог POST запросов, false - нет.