Ботнет 10к+ на wp-login - Страница 19 - Форум об интернет-маркетинге
Этот сайт существует на доходы от рекламы.
Пожалуйста, выключите AdBlock.
Старый 04.08.2013, 14:19   #181
Otshelnik-Fm
Дипломник
 
Аватар для Otshelnik-Fm
 
Регистрация: 03.08.2013
Адрес: Saratov
Сообщений: 50
Репутация: 2079
Отправить сообщение для Otshelnik-Fm с помощью ICQ
Социальные сети

По умолчанию Re: Ботнет 10к+ на wp-login

Решение для тех у кого много пользователей пользуются авторизацией.

1. Создаете файл в корне блога (там где wp-login.php), называете его как хотите, но не так как в этой статье. Я назвал его fggtreswerr.php

2. в него копируете весь код из wp-login (код придется обновить при обновлении движка в будущем)
3. В этом файле (fggtreswerr.php) находите все упоминания wp-login.php и меняете на имя созданного файла (в моем примере fggtreswerr.php). У меня нашел 20 упоминаний. Сохраняете.

Теперь вы можете зайти на блог через строку http://ваш-сайт/fggtreswerr.php

4. Закрываем в файле .htaccess (в корне блога) доступ к wp-login.php. Для этого вписываем
Код:
<filesmatch "wp-login.php">
Order Allow,Deny
Deny from all
</filesmatch>
и при заходе http://ваш-сайт/wp-login.php сервер будет отдавать 403 код.

5. но в админке для того чтобы выйти нам надо переписать адрес выхода. Используем экшн, вписываем его в файл functions.php своей темы:

Цитата:
add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url');

function my_custom_login_url($force_reauth, $redirect=null){
$login_url = site_url('fggtreswerr.php');
if (empty($redirect)) $redirect=home_url();
$login_url = add_query_arg('redirect_to', urlencode( $redirect ), $login_url );
return $login_url ;
}

function my_custom_logout_url($force_reauth, $redirect=null){
$logout_url = wp_nonce_url(site_url('fggtreswerr.php')."?action=logout", 'log-out' );
if (empty($redirect)) $redirect=home_url();
$logout_url = add_query_arg('redirect_to', urlencode( $redirect )."/?loggedout=true", $logout_url );
return $logout_url ;
}
обратите внимание: fggtreswerr.php в этом коде вам нужно заменить на свою новую страницу входа.

в этом коде:

add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url'); - необходимы для входа и выхода (если используется виджет входа вп).

код использует wp_nonce_url для генерирования случайной строки в урл. Необходимая мера для защиты.

$redirect=home_url(); - после выхода - редирект на главную страницу

источник

Плюсы:
Теперь ваш wp-login.php закрыт для всех
вам в .htaccess каждый раз не нужно вписывать ваш новый динамический айпи.
Блогом продолжают пользоваться ваши многие зарегистрированные пользователи
Файлы движка мы не трогаем
Код в functions.php ни коем образом не грузит сайт

Минусы:
При обновлении движка блога вам нужно скопировать новый wp-login.php в ваш файл авторизации и выполнить пункт 3

Но это так просто

Последний раз редактировалось Otshelnik-Fm; 04.08.2013 в 14:50..
Otshelnik-Fm вне форума   Ответить с цитированием
Сказали спасибо:

Реклама
Старый 04.08.2013, 14:22   #182
awasome
Академик
 
Регистрация: 20.08.2010
Сообщений: 7,480
Репутация: 911821

По умолчанию Re: Ботнет 10к+ на wp-login

Цитата:
Сообщение от aweksa Посмотреть сообщение
Предполагаю, что при получении 404 страницы для себя ставят галочку о недоступности страницы и переключаются на другие сайты.
Вряд ли такую тьму сайтов ручками станут отсеивать. Скорее, после нескольких ошибок софт автоматически отключается. Наверняка перепроверяет через какой-то промежуток времени.

Тема отличная, столько решений для различных проблем. Прикрепить бы ее.
awasome вне форума   Ответить с цитированием
Старый 04.08.2013, 14:34   #183
kgtu5
Академик
 
Регистрация: 21.07.2010
Адрес: Kostroma
Сообщений: 2,197
Репутация: 138450
Отправить сообщение для kgtu5 с помощью ICQ Отправить сообщение для kgtu5 с помощью Skype™

По умолчанию Re: Ботнет 10к+ на wp-login

aweksa, возращаются примерно через 0.5-1 час, проверено

asterom, было уже ранее:
Цитата:
<Directory ~ "/home/[^/]+/data/www/[^/]+/wp-admin/">
AuthType Basic
AuthName "ADMIN ONLY!!!"
AuthUserFile "/путь_до/.htpasswd"
Require valid-user
</Directory>
__________________
аська 45два48499два записки на работе
помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ и ТАМ
!!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
kgtu5 вне форума   Ответить с цитированием
Старый 04.08.2013, 14:40   #184
cap
Кандидат наук
 
Регистрация: 11.10.2006
Сообщений: 370
Репутация: 6980

По умолчанию Re: Ботнет 10к+ на wp-login

Предлагаю вам такой вариант, который мне пришел в голову два дня назад, когда ночью случайно заметил нереальный LA на DDS. Сначала, я так же начал идти по WP и в .htaccess блокировать wp-login.php , но, поняв, что это занятие неблагодарное, написал вот это.

Суть проста: htaccess отсеивает только тех у кого нет суперкуки. суперкуки получается по заходу на динамический урл, кука хранится полгода. Если нужно снести куку (ну мало ли ) запускается URL c параметром delete. В течение суток полет нормальный. Собственно эффект проверяется руками сразу после секундной установки. Для создания динамического URL для простоты взял текущий день, вы можете придумать что угодно.

Установка:
в .htaccess блога добавляем
Код:
RewriteEngine On

# Закрываем страницы авторизации от доступа без определенной куки
RewriteCond %{HTTP_COOKIE} !cap-enter-ticket
RewriteCond %{REQUEST_URI} ^/wp-login.php
RewriteRule ^ - [F,L]

# Рерайтим URL для управления куки
RewriteRule ^cap-enter/([^/]*)/delete(/?) cap-enter-ticket.php?a=delete&d=$1 [NC,L]
RewriteRule ^cap-enter/([^/]*)(/?) cap-enter-ticket.php?d=$1 [NC,L]
В корень блога бросаем файл из аттача (предварительно разархивировав) cap-enter-ticket.php

в нем ничего сложного. запускает куку к вам на комп.

Сразу после загрузки доступ к wp-login.php будет блокирован. Чтобы открыть доступ необходимо пройти по URL раз в полгода:
Код:
адрес-блога/cap-enter/04.08.2013/
адрес-блога/cap-enter/04.08.2013/delete
04.08.2013 - сегодняшняя дата относительно сервера

Вот и все. Этот вариант хорош для доверенных модераторов сайта и админов, где нет авторизации юзеров. Там где есть авторизация и сайт "живой" надо будет дописывать хранение какого-нибудь кэшкода, закрепленного на реальной почте с подтверждением.

Удачи!
Вложения
Тип файла: zip cap-enter-ticket.zip (988 байт, 152 просмотров)
cap вне форума   Ответить с цитированием
Сказали спасибо:
Старый 04.08.2013, 14:41   #185
cap
Кандидат наук
 
Регистрация: 11.10.2006
Сообщений: 370
Репутация: 6980

По умолчанию Re: Ботнет 10к+ на wp-login

Все плагины по блокировке - пустая трата времени, для их использования подгружается все ядро WP, что вновь вызовет нагрузку.
cap вне форума   Ответить с цитированием
Старый 04.08.2013, 14:52   #186
Fader
Master of wanker
 
Аватар для Fader
 
Регистрация: 08.06.2008
Сообщений: 635
Репутация: 8545
Отправить сообщение для Fader с помощью ICQ

По умолчанию Re: Ботнет 10к+ на wp-login

http basic auth для nginx:

Цитата:
# Restricting access to Wordpress login page by http basic auth
location ~* ^/wp-login.php$ {
<------>auth_basic "Restricted";
<------>auth_basic_user_file /<PATH>/htpasswd;

<------># PHP config
<------>fastcgi_pass <PHP_BACKEND>;
<------>include fastcgi_params;
<------>fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
под красным маркером заменить на свои значения

вообще, я тут немного запараноился: а не пытаются ли сниффить хакеры наши пароли? Может стоит задуматься не только о защите от нагрузки и брута? Возможно ли как-то проанализировать этот момент? Есть ли тут в ветке специализирующиеся безопасники?
Fader вне форума   Ответить с цитированием
Старый 04.08.2013, 14:55   #187
aweksa
Кандидат наук
 
Аватар для aweksa
 
Регистрация: 26.11.2008
Адрес: Одесса
Сообщений: 384
Репутация: 38971

По умолчанию Re: Ботнет 10к+ на wp-login

Цитата:
Сообщение от awasome Посмотреть сообщение
Вряд ли такую тьму сайтов ручками станут отсеивать. Скорее, после нескольких ошибок софт автоматически отключается. Наверняка перепроверяет через какой-то промежуток времени.
Ну не ручками, конечно. Автоматически. Но жаль, что таки возвращаются.

Цитата:
Сообщение от kgtu5 Посмотреть сообщение
aweksa, возращаются примерно через 0.5-1 час, проверено
Ясно, жаль. Может, как-то реагируют на стандартную 404? Может, есть смысл её (404-ю) видоизменить? Или вообще сам файл wp-login.php сделать каким-то мини html с парой строк и пусть долбятся, не особо создавая нагрузку...

Интересно, к тем, кто игрался с папкой wp-admin, также возвращались через время?
aweksa вне форума   Ответить с цитированием
Старый 04.08.2013, 16:33   #188
Jovian
статус undefined
 
Регистрация: 21.08.2011
Сообщений: 620
Репутация: 49285

По умолчанию Re: Ботнет 10к+ на wp-login

Ломятся не только на WP/Joomla/DLE.
В логах своих вижу и попытку ломиться в Typo3, MODx (/manager - а там и ISPmanager может быть у кого-то ).

Отбиваюсь просто - htaccess с allow,deny.

п.с.: но WP на первом месте у них - это да.
Jovian вне форума   Ответить с цитированием
Старый 04.08.2013, 17:54   #189
Frost bite
ЭндЮзер
 
Аватар для Frost bite
 
Регистрация: 20.10.2007
Сообщений: 1,087
Репутация: 174813
Отправить сообщение для Frost bite с помощью ICQ

По умолчанию Re: Ботнет 10к+ на wp-login

Логин смотрит в рсс ленте, дальше начинает брутить по обычному словарю, не по случайному диапазону. Пока поставил денай в хтакцесе. IPB тоже брутят, ботнет аналогичный.
Frost bite вне форума   Ответить с цитированием
Старый 04.08.2013, 19:07   #190
tlk
веб-журналист
 
Регистрация: 22.04.2011
Адрес: На берегу моря живу, ага.
Сообщений: 131
Репутация: 4490
Социальные сети Профиль на Хабрахабре

По умолчанию Re: Ботнет 10к+ на wp-login

Я сейчас наблюдаю шквал запросов POST /edit. Примерно 30 реквестов в секунду с хоста. Сколько хостов - хз. Сталкивались?
__________________
Дешевые VPS в России.
Надежные сервера и VDS по всему миру с мгновенным русским саппортом.
Бесплатный SMS-мониторинг всего - есть API для профессионалов.
tlk вне форума   Ответить с цитированием
Ответ




Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Текущее время: 11:12. Часовой пояс GMT +3.

Регистрация Справка Календарь Поддержка Все разделы прочитаны