Ботнет 10к+ на wp-login

R
На сайте с 04.08.2013
Offline
0
#251
madoff:
Ещё настраивать его надо, мало только установки.

ну так вроде бы включил модуль... что его настраивать то? по сути правило человек к модулю написал, а оно не работает, может просто с репы билд взял неактуальный? Человек скажем под 2.7.5 писал а с официальной репы тока 2.5.5 пакет

Вообщем кто настроил сие чудо дайте знать? У меня же с у установкой модуля и настройкой прописыания конфига а apache2.conf хоть убейся в логах пишет:

.htaccess: SecAction not allowed here

Весьма занятный костыль который заблочит пользователей на уровне "сервера без авторизаций" или возможно кто то писал правило какое нить замороченное для iptables или ещё что то в таком духе...

Flector
На сайте с 09.09.2006
Offline
186
#252

плин, докатилось и до моих сайтов :(

решил временно через:

<Files "wp-login.php">
Order Deny,Allow
Deny from all
Allow from 111.111.111.11
</Files>

но на одном из сайтов регистрация открытая, а таким макаром всех выпилил :(

A
На сайте с 20.08.2010
Offline
775
#253
ixley:
Всем привет!
Никак не могу авторизоваться ни на одном из своих сайтов на WP.
HTTP-авторизацию пробовал, одобренный порт 8080 от регистратора пробовал, всё равно не работает.

site.ru:8080/wp-login.php

T1
На сайте с 03.05.2011
Offline
35
#254

база сайтов по которой брутят где-то майская. Я в начале июня, посносил WP с десятка сателитов, вот сегодня алерты свалились что лог файлы на сервере быстро растут. Вот что в логах

175.140.93.18 - - [05/Aug/2013:03:01:16 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

82.114.178.180 - - [05/Aug/2013:03:04:20 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
190.203.122.147 - - [05/Aug/2013:03:04:31 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
93.173.65.76 - - [05/Aug/2013:03:06:26 +0400] "POST /wp-login.php HTTP/1.0" [404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
200.106.107.72 - - [05/Aug/2013:03:07:58 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
200.106.107.72 - - [05/Aug/2013:03:09:20 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
175.140.93.18 - - [05/Aug/2013:03:12:11 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
41.110.148.241 - - [05/Aug/2013:03:13:14 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"
41.110.148.241 - - [05/Aug/2013:03:14:27 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT

те долбятся в 404

O
На сайте с 28.07.2009
Offline
104
#255

Подтверждаю атаку... У меня, правда, кончилась. Или забанил всех, больше полутысячи за утро точно было.

Пользовался fail2ban, обращаю внимание, что скармливаю в ipset, если все прямо в iptables лупить, может начать подтормаживать.

Для особо нагруженных серверов предлагаю обратить внимание на sagan: http://sagan.quadrantsec.com/

занимаюсь автоматизацией торговли (http://olegon.ru)
servercraft
На сайте с 03.07.2013
Offline
8
#256
Romka_Kharkov:
Как не крути, запросы разные, одни авторизуют клиента а другие нет, стало быть надо разбирать на уровне софта и банить файрволом... >10 левых в день.... с одного ИП.... и спать...

скорее всего большиство ip - динамические, спустя некоторое время меняются...

Romka_Kharkov:

Списки IP консолидировать, обновлять и распускать на сообщества.

новый спамхауз?

---------- Добавлено 05.08.2013 в 07:56 ----------

bornyakov:

Посмотрел IP с которых идут запросы - Австралия, США, Китай, Беларусь, Бангладеш и т.п... из России всего порядка 5%.
Можно как то средствами htaccess пустить только РФ и Украину, например?

списки адресов по странам

http://ipdeny.com/ipblocks/

http://serverсraft.com.ua (http://servercraft.com.ua) настраиваем сервера, удаляем вирусы с сайтов
VB
На сайте с 24.11.2010
Offline
71
#257

Сегодня с утра сервер снова убит. 20-30к бот нет снова сканит мой сервер. Капец, ребята, это уже даже не смешно. Неужели нельзя никак выцепить злодеев?

AGHost
На сайте с 16.11.2011
Offline
115
#258

Нагрепал IP по Firefox/19.0, может кому-то пригодится - http://brute.aghost.biz/block.txt

Список обновляется регулярно.

Еще отсюда баню http://lists.blocklist.de/lists/bruteforcelogin.txt

8 лет на рынке услуг хостинга - https://agho.st (https://agho.st)
LS
На сайте с 08.01.2013
Offline
29
#259

Что за бред тут творится. Переименовать wp-login на tut-vvodiat-login, admin-login, да все что угодно, а затем открыть файл wp-login и с поиском заменить все wp-login на tut-vvodiat-login и у вас не будет этого гемора более. Для справки эта хрень была, если не ошибаюсь 1.5 года назад.

K5
На сайте с 21.07.2010
Offline
209
#260

добавил в httpd.conf глобально авторизацию

<Location ~ "/(wp-login\.php|administrator|admin\.php)">
Order deny,allow
# Deny from all
Allow from all
AuthType Basic
AuthName "ADMIN ONLY!"
AuthUserFile /etc/httpd/conf.d/.htpasswd
Require Valid-user
</Location>

как прописать чтобы исключить из авторизации (оставить доступным) 1 тестовый домен ???

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий