Ботнет 10к+ на wp-login

AGHost
На сайте с 16.11.2011
Offline
115
#271

GamletOrtikov, проверка бана в файрволле работает быстрее, чем на уровне файла с строками deny from IP; Нагрузка не ощутима вовсе, какая-то часть ботов прорывается, но добивается уже вручную.

8 лет на рынке услуг хостинга - https://agho.st (https://agho.st)
V0
На сайте с 09.10.2012
Offline
6
#272
Viktor0707:
Здравствуйте! Для защиты админки воспользовался Плагином jl secure my site исчезла админка. При входе /administrator/ выбрасывает на главную страницу сайта

исправил. все понял сам

GamletOrtikov
На сайте с 26.08.2011
Offline
83
#273

[umka], AGHost,

А выдача 403 ошибки без загрузок каких-либо страниц и прочей атрибутики сайта нагрузку не влечёт? А то я сделал так /ru/forum/comment/12016340 прописав в httpd.conf это конечно радикальный метод, подходит не для всех, но пока что тормозов и повышенной нагрузки не наблюдается. Или всё-таки такой метод тоже будет нагружать сервер?

Покупаем вкладыши TURBO (https://vk.com/fantiki_turbo)
AGHost
На сайте с 16.11.2011
Offline
115
#274

GamletOrtikov, такой метод будет нагружать веб сервер ответами 403. В любом случае хоть какая-то нагрузка будет, зависит от кол-ва ботов.

xpycteamset
На сайте с 05.10.2009
Offline
129
#275

Не могу сказать что мои логи относятся к данному случаю, но будьте внимательны

- - [05/Aug/2013:06:20:11 +0400] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.0" 404 239 "-" "ZmEu"

- - [05/Aug/2013:06:20:11 +0400] "GET /phpMyAdmin/scripts/setup.php HTTP/1.0" 404 226 "-" "ZmEu"

- - [05/Aug/2013:06:20:12 +0400] "GET /phpmyadmin/scripts/setup.php HTTP/1.0" 404 226 "-" "ZmEu"

- - [05/Aug/2013:06:20:12 +0400] "GET /pma/scripts/setup.php HTTP/1.0" 404 219 "-" "ZmEu"

- - [05/Aug/2013:06:20:13 +0400] "GET /myadmin/scripts/setup.php HTTP/1.0" 404 223 "-" "ZmEu"

- - [05/Aug/2013:06:20:13 +0400] "GET /MyAdmin/scripts/setup.php HTTP/1.0" 404 223 "-" "ZmEu"

- - [05/Aug/2013:07:54:25 +0400] "GET /judgeme/azenv.php HTTP/1.0" 404 215 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"

Fader
На сайте с 08.06.2008
Offline
88
#276

у меня часа 2 назад атака прекратилась. Только с низкой частотой бомбят wp-login с bad_referrer. И все тот же настырный айпишник: 88.12.49.237

Просто интересно, у кого это айпи еще присутствует?

Новый форум Webtransfer (http://webtransfer-board.com/)
AGHost
На сайте с 16.11.2011
Offline
115
#277

xpycteamset, Это бот, который phpmyadmin брутфорсит, такие тоже есть, но они безвредные все.

Fader, да таких адресов там уже больше десятка тысяч, вообще странный

алгоритм атаки, 88.12.49.237 у нас нигде не фигурирует, скорей всего разные контроллеры ботов с разными пулами IP.

K5
На сайте с 21.07.2010
Offline
209
#278

Fader, меня вчера после 23 по мск отпустило, сегодня с 8 примерно опять

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
T
На сайте с 22.04.2011
Offline
57
tlk
#279

Чета ботяки вообще поднаглели. Вчера они валили по 5-6 запросов с одного хоста. Сегодня оне валят по одному запросу с разных хостов. Тварюки.

Поставил fail2ban на единичное срабатывание. Мои юзеры в 99% логиняться через соц.сети, поэтому, думаю, пароли им вводить (и, соответственно) ошибаться, не нужно.

Дешевые VPS в России (http://goo.gl/DB5d0Y). Надежные сервера и VDS по всему миру (http://goo.gl/joUFXm) с мгновенным русским саппортом. Бесплатный SMS-мониторинг всего (http://goo.gl/jCIDxN) - есть API для профессионалов.
Fader
На сайте с 08.06.2008
Offline
88
#280

народ, подкиньте кто красивые fail2ban failregex'ы для nginx логов (error и access) для отлавливания ботов щемящихся на wp-login.php

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий