Ботнет 10к+ на wp-login

WebAlt
На сайте с 02.12.2007
Offline
221
#131

Лично мне и наверно не только мне, пришло вчера вечером (не поздним) сообщение от FirstVDS такого плана:

ВНИМАНИЕ! Владельцам сайтов на CMS WorsPress и Joomla!!!

В настоящий момент на многие сайты пространства сети Интернет идёт массовая атака, направленная на подбор паролей к CMS WordPress и Joomla. Подбор осуществляется через форму входа на странице wp-login.php и administrator/index.php соответственно.

Последние 30 часов нашим специалистам удавалось сдерживать атаку с переменным успехом. Но сейчас нагрузка на серверы подходит к критической, вследствие чего на некоторых головных машинах начали наблюдаться отказы в обслуживании.

В связи с этим, мы вынуждены централизованно временно закрыть доступ к админской части CMS WordPress и Joomla. Таким образом, мы предотвратим взлом ваших сайтов и существенно снизим нагрузку.

Сейчас мы закрыли доступ через файл /usr/local/etc/apache22/Includes/wp-login.conf

Для восстановления доступа необходимо удалить этот файл и перезапустить Apache (через ISPmanager, раздел "Сервисы").
После удаления созданного файла вам необходимо ограничить доступ к странице wp-login.php и administrator/index.php для сторонних IP адресов или переименовать этот файл, чтобы исключить дальнейшую атаку на ваш сайт.

Народ! Ну закройте на время админку:

<Files wp-login.php>

Order Deny,Allow
Deny from All
</Files>

И в последующем переименуйте её и будет вам счастье. :)

Промокод на скидку 25%: [ 64821976 ] на сайтах: [ https://firstvds.ru ] - виртуальные серверы; [ https://1dedic.ru ] - выделенные серверы; [ https://ispserver.ru ] - хостинг, VPS/VDS, выделенные и облачные серверы с полным администрированием.
L
На сайте с 13.01.2011
Offline
96
#132

у меня брутят 3 сервера - все joomla . забанил скриптом 10K ботов - до этого la было 200

в случае с isp этот вариант неплох - отдает 401

спасибо автору

<Directory ~ "/var/www/[^/]+/data/www/[^/]+/administrator">
AuthType Basic
AuthName "AntiBotnet "
AuthUserFile "/tmp/.htpasswd"
Require valid-user
</Directory>
Контакты-icq 535609 ()
KC
На сайте с 01.10.2009
Offline
28
#133

WebAlt, тоже на FirstVDS, но мне не писали. Если честно, я сам написал в ТП и от них об атаках и узнал (даже ссылку на эту вот тему дали). Принял сам некоторые меры, автоматом ничего не ограничивали пока что.

На виртуальных хостингах совсем плохо. Ни один из моих сайтов не подвергся атаке судя по логам (Руцентр), но всё равно стабильно в дауне всё.

WebAlt
На сайте с 02.12.2007
Offline
221
#134
Ki-ck:
WebAlt, тоже на FirstVDS, но мне не писали. Если честно, я сам написал в ТП и от них об атаках и узнал (даже ссылку на эту вот тему дали). Принял сам некоторые меры, автоматом ничего не ограничивали пока что.

На виртуальных хостингах совсем плохо. Ни один из моих сайтов не подвергся атаке судя по логам (Руцентр), но всё равно стабильно в дауне всё.

На FirstVDS нет виртуальных хостингов, это у http://ispserver.com/ есть, возможно вы в настройках отключили e-mail подписки на новости, но не буду утверждать.;)

Fader
На сайте с 08.06.2008
Offline
88
#135

такое ощущение что все на апаче сидят

вот для nginx:

location ~ ^/(wp-admin|wp-login\.php) {
allow <your IP address/subnet>;
deny all;
}

вот что об этом думает кодекс:

http://codex.wordpress.org/Brute_Force_Attacks

Новый форум Webtransfer (http://webtransfer-board.com/)
L
На сайте с 13.01.2011
Offline
96
#136

насчет nginx -

location ~ ^/(wp-admin|wp-login\.php) {

прописывать в каждом виртуалхосте nginx если например 300 сайтов накладно

разве инклюдом - но все равно в каждом

KC
На сайте с 01.10.2009
Offline
28
#137
WebAlt:
На FirstVDS нет виртуальных хостингов, это у http://ispserver.com/ есть, возможно вы в настройках отключили e-mail подписки на новости, но не буду утверждать.;)

Нет, ничего нету. В админку заходит, всё ок. Проверил сообщения. Сейчас, вроде, проблема с нагрузкой немного устаканилась.

ПРо виртуальные я отдельно от ВДС написал, так, о наболевшем. На Руцентре виртуальный у меня отвалился. Видимо, соседям досталось и меня с ними снесло.

Fader спасибо, пригодится для nginx!

K5
На сайте с 21.07.2010
Offline
209
#138

вчера ничего, сегодня видимо и ко мне начали долбить, la 3-4 вместо стандартного 1 (впс)

закрыл вп-админ .htaccess'ом и .htpasswd с паролем

AuthType Basic
AuthName "ADMIN ONLY!"
AuthUserFile /полный путь до/wp-admin/.htpasswd
require user ***

<Files .htpasswd>
deny from all
</Files>

нагрузка сразу вернулась к стандарту

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
[umka]
На сайте с 25.05.2008
Offline
456
#139
kgtu5:
<Files .htpasswd>
deny from all
</Files>

[offtop]

Файлы .ht* по-умолчанию не отдаются апачем

[/offtop]

Лог в помощь!
A
На сайте с 20.08.2010
Offline
775
#140
newwman:
хостер просто закрыл вход в админку! до понедельника безделье

Та же ботва, только без предупреждения и неизвестно до какого числа.

Многие пишут про смену wp-login. Не пойму, в чем профит, если сайт будет отдавать 404 ошибку и тем самым грузить сервер? Хотя можно подсунуть пустую страницу, но с этим не каждый станет заморачиваться. Не проще ли поставить логин отличный от admin или адреса сайта - эффект тот же, а подбирать будут тысячу лет?

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий