- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Приветствую!
Со вчерашнего вечера наблюдается атака-брут по всем доменам с WP на файл wp-login.php, подтормаживают несколько десятков серверов. Кол-во ботов более 10к, запросы 1-5 в минуту с каждого IP. Где-то уже видел подобную темку с подобным брутом.
Сейчас у кого ни будь такое наблюдается?
Есть возможность решить проблемку без фаервола отсеивая через nginx только ботов?
Наблюдаем такую же проблему почти на всех хостинг серверах.
В .htaccess разрешить только IP администратора.
А лучше всё же анализатор трафика написать, да побанить всё через фаер.
Dimanych, выдавайте на админке 404 ошибку, а саму админку переместите в зашифрованное место - помогает
DenisVS, +1, но иногда работает несколько человек или самому иногда надо с другого ИП зайти
Значит весь инет/рунет, а не только нас. То-то на сеарче тихо стало, все побежали разбираться с перегрузкой :)
У меня есть на примете вариант решения проблемы через nginx, что-то типо каптчи и куков, но для этого нужно нагрузить все виртхосты реврайтами и редиректами. Не подходит.
Если кто придумает хороший способ, просьба поделиться.
Сейчас блок wp-login.php через htaccess, но клиенты не довольны.
да, решить можно, даю подсказки зачастую у них referer не валидный и они перед POST не делают GET, еще лимиты можно поставить на /wp-login.php и кэширование.
да, решить можно, даю подсказки зачастую у них referer не валидный и они перед POST не делают GET, еще лимиты можно поставить на /wp-login.php и кэширование.
:) это знаем и используем, но есть боты и с валидным, их также не мало.
GET перед POST отслеживать, ну это прям интеллект писать...
Dimanych, выдавайте на админке 404 ошибку, а саму админку переместите в зашифрованное место - помогает
DenisVS, +1, но иногда работает несколько человек или самому иногда надо с другого ИП зайти
не выйдет, я так понимаю у тс-а шаред хостинг, нужно глобально делать, желательно realtime
gutako, если всё приняло серьёзный оборот, всё же придётся написать демона, который открывал бы админку для IP, например, при обращении к секретному php файлу.
Либо wp-login перенести запилом.
Есть такая проблема на моих сайтах. Оставил доступ к серверу только для России, остальное все заблокировал.
Этот трафик уже канальных операторов начинает задевать.
Есть такая проблема на моих сайтах. Оставил доступ к серверу только для России, остальное все заблокировал.
Этот трафик уже канальных операторов начинает задевать.
как он может быть заметным для канальных операторов, это все мелочевка.