Intentos de hackeo o de spam

hola que tal, si este no es el foro adecuado favor de moverlo

desde hace algunos dias en mi seccion de usuarios conectados que reviso regularmente para analizar el trafico de mi sitio empiezo a ver sessiones fuera de lo normal

son muchas sessiones abiertas (llegan a ser hasta 50) por la misma IP, algunas se comportan como un bot, realizando llamadas a paginas normales pero en lapsos de tiempo muy corto por lo que abren muchas sessiones

otras al igual (y estas son las que me preocupan) provienen de la misma IP pero realizando llamadas a las paginas modificando los parametros que normalmente envian, por dar un ejemplo

tengo una pagina: "product_info.php" donde se muestra el detalle de los productos, esta pagina normalmente recibe como parametro: "pID" que es identificador para el producto

pero estas sessiones extrañas realizan la peticion a esa pagina modificando el id por una URL o por texto parecido al spam, ejemplo

product_info.php?pID=http://www.algunapaginaextraña.com/...

product_info.php?pID=textoparecidoaspam

y cosas por el estilo, incluso algunas las he visto llamando a la pagina con un parametro diferente a los que acepta, actualmente tengo un bloqueo para IPs, en estos dias ya llevo 3 IPs que observo y que han sido bloqueadas

pero ya me estan empezando a preocupar, no se si es algun malechor por ahi intentando spamear donde se pueda, o peor alguno que este intentando encontrar algun oyo, o algo asi

si alguien me pudiera orientar al respecto, de que se trata? como me difiendo?

Creo que intentan sql injection o buscando alguna vulnerabilidad en tu script

Es una forma de hacer SPAM, como utilizar la web a publicitar como REFERER de la visita a tu web, de esta manera cuando vayas a ver tus estadísticas te los encontrarás hasta en la sopa...

kikolice,

El uso de mod_security puede ayudar y bastante en estos casos, si tienes la administración de tu servidor podrás instalarlo tu mismo, de lo contrario averigua con tu proveedor de Hosting.

Saludos,

Creo Que Se Todo Un Tema, Hoy Los Mod Antis Spammbot Ayudan Mucho,

Puedes instalar el mod security con la sgt sentencia :

yum install mod_security

tambien puede ayudarte este link :
http://www.gotroot.com/tiki-index.ph...p+mod_security


Luego, puedes aplicar algunas reglas, segun la version del mod security
Usa este link :

http://www.gotroot.com/tiki-index.ph...security+rules

no tengo la administracion, estoy en una cuenta compartida de hostgator, voy a buscar informacion sobre mod_security por que hasta ahora no lo conocia

Entonces, la responsabilidad e integridad del server no está en tus manos,
sino, en las hostgator. (menos dolor de cabeza para ti)

Creo q no deberias hacerte mayor problema, solo reportalo a tu proveedor y este estará al tanto del caso.

gracias por sus aportes, ya entere al proveedor, ahora estoy esperando respuesta, gracias

Si el origen es siempre la misma IP, tu proveedor puede banearla fácilmente.

no tengo problema por eso, me genere una pequeña opcion de baneo por IP, el problema es que no vienen de la misma IP, esta semana ya llevo 5 IPs baneadas, pero en el caso de que sea hackeo me preocupa mas que vallan a conseguir lo que buscan

Podrias decirnos que IP es? por ejemplo del tipo 66.150.xx.xx ya que hay casos que suelen ser robots de búsqueda, que hayan encontrado una URL rara desde otro sitio y la esten tratando de analizar.

pues hasta ahorita tengo bloqueadas estas IPs

200.221.182.67
211.42.98.241
72.52.207.94
12.96.164.245
216.65.11.60
219.84.198.151
193.34.90.232
87.219.57.74

el problema lo sigo tenindo y dudo mucho que se traten de robots

Desde la mayoría de las ips que mencionas utilizan bots para atacar sitios utilizando link injection, y la mayoría de éstas ips pertenecen a países con gran reputación de hackeo:

IP=211.42.98.241 : País: Korea, Republic Of
IP=219.84.198.151 : País: Taiwan
IP=193.34.90.232 : País: Belgium

Te invito a leer el siguiente link:

http://www.webmasterworld.com/apache/3566114.htm

Una pregunta, ¿Tu sitio web usa algún CMS?

"Una pregunta, ¿Tu sitio web usa algún CMS?"

mis sitios estan basados en oscommerce, son tiendas virtuales, aunque con ya bastante tiempo de modificaciones

despues de casi una semana de esperar respuesta de mi proveedor sobre el problema a lo mas que llego su solucion fue a:

"The solution would be updating the application. "

gracias por su ayuda, implemente un filtro de variables GET adicional para ver si me ayuda aparte de las que trae oscom por default (tep_db_input, tep_db_prepare_input)

como lo comente el problema sigue, ya llevo 8 IPs detectadas, esperemos que con la seguridad implementada a la aplicacion sea suficiente y estos cuates no consigan lo que buscan