Ботнет 10к+ на wp-login

whois 178.154.161.29

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.

% To receive output for a database update, use the "-B" flag.

% Information related to '178.154.160.0 - 178.154.161.255'

% Abuse contact for '178.154.160.0 - 178.154.161.255' is 'abuse@yandex.ru'

inetnum: 178.154.160.0 - 178.154.161.255

netname: YANDEX-178-154-160

status: ASSIGNED PA

country: RU

descr: Yandex enterprise network

Это не претендент.

Оптимизайка это самое большое что я наверное увидел. хотя может и пропустил что т.к. в notepad++ не особо просканируешь. Нужна утилита для этого.

Но согласись что количество пустых заходов с поисковика не нормальны

А проверял ли кто "стойкость" плагинов Stealth Login Page или Limit Login Attempts при такой "атаки" на сайты WP... именно на путь wp-login?! Спасают ли они от левого бота?

Любой правильный блокнот оставит только нужное. Ну или в конце концов эксель отфильтрует :)

Вчера наблюдал ненормальную активность на 2-х серверах. На врямя все админки wp-login пришлось прикрыть пока не забанили все айпишки с которых шла атака.

Эксель отказался загрузить 146 тыс строк. У него ограничение- 65 тысяч строк.

"Правильный блокнот" это какой?

Тогда разбить на 3 файла.

Любой с поддержкой регулярок. Нотепад++, акелпад и тд.

Сейчас посмотрел на 3-х хостингах несколько Впшных сайтов - нигде нет ничего (ттт). Везде закрыто баз. авторизацией. Даже вп-логин не изменён.

Не догадался сразу посмотреть какие страницы посещают. Все заходы из поисковика гугла идут мне на главную страницу. И дальше никуда. т.е. тупо "просматривают" одну страницу. Сайты вообще по тематике не похожи. И посещаемость раза в три отличалась. А сегодня из-за этой атаки по 1700 посещений главной

Примочка для .htaccess по отшвыриванию заходов с прокси-серверов:

RewriteEngine on

RewriteCond %{HTTP:VIA} !^$ [OR]

RewriteCond %{HTTP:FORWARDED} !^$ [OR]

RewriteCond %{HTTP:USERAGENT_VIA} !^$ [OR]

RewriteCond %{HTTP:X_FORWARDED_FOR} !^$ [OR]

RewriteCond %{HTTP:PROXY_CONNECTION} !^$ [OR]

RewriteCond %{HTTP:XPROXY_CONNECTION} !^$ [OR]

RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR]

RewriteCond %{HTTP:HTTP_CLIENT_IP} !^$

RewriteRule ^(.*)$ — [F]

Мож поможет как-то. Хотя слетит доступ и для нормального посетителя, если он из под прокси в инете...

Ну и для конкретного IP(например 213.171.204.130 ) только такие варианты блокировок:

<Limit GET POST>

order allow,deny

deny from 213.171.204.130

allow from all

</Limit>



Order allow,deny

Deny from 213.171.204.130

Allow from all



SetEnvIf REMOTE_ADDR 213.171.204.130 REDIR="redir"

RewriteCond %{REDIR} redir

RewriteRule ^/$ http://google.com

p.s. ...да, а как там с отзывами по плагинам для WP - Stealth Login Page или Limit Login Attempts... помогают ли в случаях таких атак?!

А не проще отдать программе-брут то , что она ищет?

логин: admin

пароль: 123

права: подписчик

Зачем сражаться с ветряными мельницами? Чтобы отточить мастерство))