Mi sitio había sido hackeado hoy y también pude encontrar el punto de inyección en mi sitio. Estoy trabajando en cómo prevenir esto en el futuro.
Este es el registro de mi servidor:
8.37.230.5 - - "POST /admin/images/uploads/pro_01-04rin.php HTTP/1.1" 200 38597
"http://mywebsite.com/admin/images/uploads/pro_01rin.php"
"Mozilla/5.0 (Linux; U; Android 4.4.2; en-US; SM-G313HZ Build/KOT49H)
AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0
UCBrowser/10.10.8.820 U3/0.8.0 Mobile Safari/534.30"
Lo que sé:
- He rastreado esta IP 8.37.230.5 pero no lleva a ninguna parte porque cada hacker usa algún tipo de proxy, por lo que definitivamente esta es una IP falsa.
- La información acerca del agente de usuario es Mozilla / 5.0 (Linux; U; Android 4.4.2; AppleWebKit / 534.30 UCBrowser / 10.10.8.820 U3 / 0.8.0 Mobile Safari / 534.30)
Mis preguntas:
- Si cada hacker usa proxy, ¿cuál es el beneficio de obtener esta ip en el registro del servidor?
- ¿Hay alguna otra forma de obtener la IP real del usuario mediante alguna modificación en mi sitio web para que pueda identificar quién hizo esto?
- Como puede ver en el agente de usuario, hay Android 4.4.2 y UCBrowser / 10.10.8.820 . ¿Qué significa esto? ¿Piratearon mi sitio web desde UC Browser en Android 4.4.2?
He buscado en Google sobre esto, pero no he tenido suerte.