Ботнет 10к+ на wp-login

О, мерси! Скорее всего, то, что нужно. 🍻

Спасибо, Кэп. )) Но интересует конкретика. :)

Подскажите решение для динамического IP -подсети разные.

Мой хостер просто заблочил мне доступ к wp-admin.php - то есть под паролем зайти могу в админку, а вот редактировать, удалить его не могу.

Видно временное решение.

Видимо сильно по хостингам ударило? Почти все сайты на разных виртуальный хостингах практически лежат. Какому хостингу не напишу, что мои сайты тормозят, ответ один: сервер под ддосом

Выбирайте хостинги получше. Ерунда на самом деле, атака блокируется легко более менее грамотным сисадмином, после этого сервера не видят никакой нагрузки. Очень интересно что будет происходить со взломанными сайтами ... может подсунуть ботам WP с паролем 123123 :) Но думаю сейчас пока идёт набор доступов, а заливка удалённых шелов начнётся позже, конечно если такая возможность имеется через WP.

у меня уже было такое, просто заливают в htacess код для слива мобильного трафика, ничего серьезного. Ну а так все зависит от потребностей владельца ботнета)

Стукнулся знакомый с подобной заразой. За сегодня уже 10к ботов. Банятся на ура. Правда активность повысилась и теперь надо запускать автобан не каждую минуту, а каждые 5 сек.

Если бы не панель - можно было бы rewrite на nginx'e сделать батчем. А так через панель трогать несколько сотен (если не тысяч блогов) - задание не из приятных.

Теперь вижу в логах - начался поиск и перебор phpMyAdmin.

http://www.gofuckbiz.com/showthread.php?t=35217

называется - чей домен попал в блеклист?

а у моего клиента недавно одну джумлу старую 1.5 хакнули и в конец каждого поста вставили дивку захайденную скриптом с кучей линков на белые сайты

это кто-то так нынче продвижение клиентам делает

1. Вчера столкнулся с 502-503 ошибкой на своих сайтах. Обращение к хостеру подсказало что ддос атака. Сегодня от них приходит уведомление о 4х кратном увеличении мною нагрузки. Посмотрели логи к одному сайту ломились на wp-login 2300 раз, а на другой сайт 5400 раз. причем 2600 раз с разных ип, но один рефер: "POST /wp-login.php HTTP/1.0" 200 3226 "site.ru/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

Перечитал все 13 страниц. Как защитить для одного автора - описано. а если пользователей сайта много? order allow,deny не будешь же на сотни динамических айпи вписывать? Это нереально.

2. Еще одна из проблем - при отключенной регистрации все таки один зарегился. Айпи адрес я не увидел (в логах прошелся поиском по регистрации wp-register.php, по имени пользователя и почты - всё чисто). но вот его профиль: chromepros(это мыло)operabrow(точка)com хттп://chromebrowser(точка)ru SigeesserneDR Sigeesserne - это имена

Думаю это тоже связано с атакой. Но как он зарегился - в движке "Любой может зарегистрироваться" - галка снята

Где логи смотреть по сайтам? Чтобы проверить неудачные входы? CentOS, сервер свой

tail /path-to-webserver-log-file/access.log |grep wp-login.php

fail2ban не справляется с нагрузкой. воткнул cloudflare отдельным правилом для wp-login.php, вроде справляется неплохо. А главное голову ломать не надо на тему "что еще сделать чтобы нагрузку снизить". Для непрофильных админов линукса самое то. А то уже второй день от работы отвлекает. Рекомендую вобщем.