Форум Сайтостроение Администрирование серверов

Ботнет 10к+ на wp-login

1... 151617181920212223 ...72
A
На сайте с 20.08.2010
Offline
775
awasome
#181
aweksa:
Предполагаю, что при получении 404 страницы для себя ставят галочку о недоступности страницы и переключаются на другие сайты.

Вряд ли такую тьму сайтов ручками станут отсеивать. Скорее, после нескольких ошибок софт автоматически отключается. Наверняка перепроверяет через какой-то промежуток времени.

Тема отличная, столько решений для различных проблем. Прикрепить бы ее.

K5
На сайте с 21.07.2010
Offline
209
kgtu5
#182

aweksa, возращаются примерно через 0.5-1 час, проверено

asterom, было уже ранее:

<Directory ~ "/home/[^/]+/data/www/[^/]+/wp-admin/">
AuthType Basic
AuthName "ADMIN ONLY!!!"
AuthUserFile "/путь_до/.htpasswd"
Require valid-user
</Directory>
аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
C
На сайте с 11.10.2006
Offline
67
cap
#183

Предлагаю вам такой вариант, который мне пришел в голову два дня назад, когда ночью случайно заметил нереальный LA на DDS. Сначала, я так же начал идти по WP и в .htaccess блокировать wp-login.php , но, поняв, что это занятие неблагодарное, написал вот это.

Суть проста: htaccess отсеивает только тех у кого нет суперкуки. суперкуки получается по заходу на динамический урл, кука хранится полгода. Если нужно снести куку (ну мало ли :) ) запускается URL c параметром delete. В течение суток полет нормальный. Собственно эффект проверяется руками сразу после секундной установки. Для создания динамического URL для простоты взял текущий день, вы можете придумать что угодно.

Установка:

в .htaccess блога добавляем 

RewriteEngine On



# Закрываем страницы авторизации от доступа без определенной куки

RewriteCond %{HTTP_COOKIE} !cap-enter-ticket

RewriteCond %{REQUEST_URI} ^/wp-login.php

RewriteRule ^ - [F,L]



# Рерайтим URL для управления куки

RewriteRule ^cap-enter/([^/]*)/delete(/?) cap-enter-ticket.php?a=delete&d=$1 [NC,L]

RewriteRule ^cap-enter/([^/]*)(/?) cap-enter-ticket.php?d=$1 [NC,L]

В корень блога бросаем файл из аттача (предварительно разархивировав) cap-enter-ticket.php

в нем ничего сложного. запускает куку к вам на комп.

Сразу после загрузки доступ к wp-login.php будет блокирован. Чтобы открыть доступ необходимо пройти по URL раз в полгода: 

адрес-блога/cap-enter/04.08.2013/

адрес-блога/cap-enter/04.08.2013/delete

04.08.2013 - сегодняшняя дата относительно сервера

Вот и все. Этот вариант хорош для доверенных модераторов сайта и админов, где нет авторизации юзеров. Там где есть авторизация и сайт "живой" надо будет дописывать хранение какого-нибудь кэшкода, закрепленного на реальной почте с подтверждением.

Удачи!

zip cap-enter-ticket.zip
C
На сайте с 11.10.2006
Offline
67
cap
#184

Все плагины по блокировке - пустая трата времени, для их использования подгружается все ядро WP, что вновь вызовет нагрузку.

Fader
На сайте с 08.06.2008
Offline
86
Fader
#185

http basic auth для nginx:

# Restricting access to Wordpress login page by http basic auth
location ~* ^/wp-login.php$ {
<------>auth_basic "Restricted";
<------>auth_basic_user_file /<PATH>/htpasswd;

<------># PHP config
<------>fastcgi_pass <PHP_BACKEND>;
<------>include fastcgi_params;
<------>fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

под красным маркером заменить на свои значения

вообще, я тут немного запараноился: а не пытаются ли сниффить хакеры наши пароли? Может стоит задуматься не только о защите от нагрузки и брута? Возможно ли как-то проанализировать этот момент? Есть ли тут в ветке специализирующиеся безопасники?

Новый форум Webtransfer (http://webtransfer-board.com/)
aweksa
На сайте с 26.11.2008
Offline
72
aweksa
#186
awasome:
Вряд ли такую тьму сайтов ручками станут отсеивать. Скорее, после нескольких ошибок софт автоматически отключается. Наверняка перепроверяет через какой-то промежуток времени.

Ну не ручками, конечно. Автоматически. Но жаль, что таки возвращаются.

kgtu5:
aweksa, возращаются примерно через 0.5-1 час, проверено

Ясно, жаль. Может, как-то реагируют на стандартную 404? Может, есть смысл её (404-ю) видоизменить? Или вообще сам файл wp-login.php сделать каким-то мини html с парой строк и пусть долбятся, не особо создавая нагрузку...

Интересно, к тем, кто игрался с папкой wp-admin, также возвращались через время?

J
На сайте с 21.08.2011
Offline
78
Jovian
#187

Ломятся не только на WP/Joomla/DLE.

В логах своих вижу и попытку ломиться в Typo3, MODx (/manager - а там и ISPmanager может быть у кого-то ;) ).

Отбиваюсь просто - htaccess с allow,deny.

п.с.: но WP на первом месте у них - это да.

Будет ли Wordfence защищать Вывод блоков РСЯ на Title, H1, H2 одинаковые
Frost bite
На сайте с 20.10.2007
Offline
158
Frost bite
#188

Логин смотрит в рсс ленте, дальше начинает брутить по обычному словарю, не по случайному диапазону. Пока поставил денай в хтакцесе. IPB тоже брутят, ботнет аналогичный.

T
На сайте с 22.04.2011
Offline
57
tlk
#189

Я сейчас наблюдаю шквал запросов POST /edit. Примерно 30 реквестов в секунду с хоста. Сколько хостов - хз. Сталкивались?

Дешевые VPS в России (http://goo.gl/DB5d0Y). Надежные сервера и VDS по всему миру (http://goo.gl/joUFXm) с мгновенным русским саппортом. Бесплатный SMS-мониторинг всего (http://goo.gl/jCIDxN) - есть API для профессионалов.
Fader
На сайте с 08.06.2008
Offline
86
Fader
#190

анализируя логи обратил внимание на запросы к wp-login.php с bad referrer. они не такие частые как брутфорсовые но долбят с завидным постоянством. а главное айпишник один и тот же - 88.12.49.237.

может это какой-то сигнальный бот?

88.12.49.237 - - [04/Aug/2013:19:00:37 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "YDLKR6QjF73HnV1"
88.12.49.237 - - [04/Aug/2013:19:01:14 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "d6AubrlR7RIsGbX9Hg1"
88.12.49.237 - - [04/Aug/2013:19:01:49 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "4jWgWaQBX8 KotorHe"
88.12.49.237 - - [04/Aug/2013:19:02:28 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "rbkwniAU dqyT"
88.12.49.237 - - [04/Aug/2013:19:03:05 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "yhIG5 IX688sCC"
88.12.49.237 - - [04/Aug/2013:19:03:42 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "35rBoZIyB5SR"
88.12.49.237 - - [04/Aug/2013:19:04:19 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "0IX6GEq 7u8xhH"
88.12.49.237 - - [04/Aug/2013:19:04:54 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "Wyt HylfwHLMvgsoL"
88.12.49.237 - - [04/Aug/2013:19:05:30 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "KIJ4VpZuB8K"
88.12.49.237 - - [04/Aug/2013:19:06:07 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "TmpLljTAaaZsh8h VDWz"
88.12.49.237 - - [04/Aug/2013:19:06:43 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "KPcwMY2S emHfAp"
88.12.49.237 - - [04/Aug/2013:19:07:21 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "IX7qyVoNN0WB"
88.12.49.237 - - [04/Aug/2013:19:07:57 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "kig9vZ05Ew"
88.12.49.237 - - [04/Aug/2013:19:08:34 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "WTsJcPUCG cc qk"
88.12.49.237 - - [04/Aug/2013:19:09:10 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "CuTbGPEwkGE q70"
88.12.49.237 - - [04/Aug/2013:19:09:45 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "HByHe wDZ PS2Uuww"
88.12.49.237 - - [04/Aug/2013:19:10:22 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "UfiS6tg Kea"
88.12.49.237 - - [04/Aug/2013:19:10:58 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "6GFHc4LEotvM"
88.12.49.237 - - [04/Aug/2013:19:11:35 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "jkgmIKSi BMYuN"
88.12.49.237 - - [04/Aug/2013:19:12:11 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "k8KZBFEGLBzVLnwAH"
88.12.49.237 - - [04/Aug/2013:19:12:48 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "JfyuO kSOYdB"
1... 151617181920212223 ...72

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий