Ботнет 10к+ на wp-login

ну так вроде бы включил модуль... что его настраивать то? по сути правило человек к модулю написал, а оно не работает, может просто с репы билд взял неактуальный? Человек скажем под 2.7.5 писал а с официальной репы тока 2.5.5 пакет

Вообщем кто настроил сие чудо дайте знать? У меня же с у установкой модуля и настройкой прописыания конфига а apache2.conf хоть убейся в логах пишет:

Весьма занятный костыль который заблочит пользователей на уровне "сервера без авторизаций" или возможно кто то писал правило какое нить замороченное для iptables или ещё что то в таком духе...

плин, докатилось и до моих сайтов :(

решил временно через:

но на одном из сайтов регистрация открытая, а таким макаром всех выпилил :(

site.ru:8080/wp-login.php

база сайтов по которой брутят где-то майская. Я в начале июня, посносил WP с десятка сателитов, вот сегодня алерты свалились что лог файлы на сервере быстро растут. Вот что в логах

175.140.93.18 - - [05/Aug/2013:03:01:16 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

82.114.178.180 - - [05/Aug/2013:03:04:20 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

190.203.122.147 - - [05/Aug/2013:03:04:31 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

93.173.65.76 - - [05/Aug/2013:03:06:26 +0400] "POST /wp-login.php HTTP/1.0" [404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

200.106.107.72 - - [05/Aug/2013:03:07:58 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

200.106.107.72 - - [05/Aug/2013:03:09:20 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

175.140.93.18 - - [05/Aug/2013:03:12:11 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

41.110.148.241 - - [05/Aug/2013:03:13:14 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0"

41.110.148.241 - - [05/Aug/2013:03:14:27 +0400] "POST /wp-login.php HTTP/1.0" 404 286 "http://site.com/wp-login.php" "Mozilla/5.0 (Windows NT

те долбятся в 404

Подтверждаю атаку... У меня, правда, кончилась. Или забанил всех, больше полутысячи за утро точно было.

Пользовался fail2ban, обращаю внимание, что скармливаю в ipset, если все прямо в iptables лупить, может начать подтормаживать.

Для особо нагруженных серверов предлагаю обратить внимание на sagan: http://sagan.quadrantsec.com/

скорее всего большиство ip - динамические, спустя некоторое время меняются...

новый спамхауз?

---------- Добавлено 05.08.2013 в 07:56 ----------

списки адресов по странам

http://ipdeny.com/ipblocks/

Сегодня с утра сервер снова убит. 20-30к бот нет снова сканит мой сервер. Капец, ребята, это уже даже не смешно. Неужели нельзя никак выцепить злодеев?

Нагрепал IP по Firefox/19.0, может кому-то пригодится - http://brute.aghost.biz/block.txt

Список обновляется регулярно.

Еще отсюда баню http://lists.blocklist.de/lists/bruteforcelogin.txt

Что за бред тут творится. Переименовать wp-login на tut-vvodiat-login, admin-login, да все что угодно, а затем открыть файл wp-login и с поиском заменить все wp-login на tut-vvodiat-login и у вас не будет этого гемора более. Для справки эта хрень была, если не ошибаюсь 1.5 года назад.

добавил в httpd.conf глобально авторизацию

как прописать чтобы исключить из авторизации (оставить доступным) 1 тестовый домен ???