- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
попробуйте просто для интереса подобрать пароль к RAR-архиву с 10-символьным бессмысленным паролем. хотя лучше и не пытаться - ничего не выйдет даже на новейших процах.
А вы попробуйте для перебора использовать GPU, а не CPU. :)
Скажите, только ограничение по ip уже достаточно для 100% защиты от взлома?
- достаточно, запрет доступа для папок с файлами админских и исполняемых файлов, запрет на файл логина.
При этом сайте никаких капч, и никаких регистраций для пользователей, комментарии пишутся, спам отсутствует.
Соответсвенно данный ботнет никак не напрягает, ни на одном хостинге, все сайты в нормальном полете.
Да, не забываем, что кроме нагрузки на движок(при открытом файле логина) идет еще нагрузка на почтовые ящики сервера, отправить... принять майл дэливери
но на одном из сайтов регистрация открытая, а таким макаром всех выпилил :(
А мой хостер firstvds взял мой код для блокировки по IP отсюда и заблочил глобально все админки 😂 Радикалы просто. Снизить нагрузку можно ещё убрав логи например и минимизировав размер 403 документа:
Но лучше бы они взяли код с куками, у меня после него ни одной попытки залогиниться от бота не было, всем 403 отдаётся, зато логин и админка работают для юзеров:
RewriteCond %{HTTP_COOKIE} !humans=fucking_love_cookiesRewriteCond %{QUERY_STRING} !(callback|logout|lostpassword)
RewriteRule ^(wp-login\.php|administrator|admin\.php) - [F,L]
ErrorDocument 403 "<html><body><script>document.cookie='humans=fucking_love_cookies;path=/';location.reload();</script></body></html>"
Решение для тех у кого много пользователей пользуются авторизацией.
1. Создаете файл в корне блога (там где wp-login.php), называете его как хотите, но не так как в этой статье. Я назвал его fggtreswerr.php
2. в него копируете весь код из wp-login (код придется обновить при обновлении движка в будущем)
3. В этом файле (fggtreswerr.php) находите все упоминания wp-login.php и меняете на имя созданного файла (в моем примере fggtreswerr.php). У меня нашел 20 упоминаний. Сохраняете.
Теперь вы можете зайти на блог через строку http://ваш-сайт/fggtreswerr.php
4. Закрываем в файле .htaccess (в корне блога) доступ к wp-login.php. Для этого вписываем
и при заходе http://ваш-сайт/wp-login.php сервер будет отдавать 403 код.
5. но в админке для того чтобы выйти нам надо переписать адрес выхода. Используем экшн, вписываем его в файл functions.php своей темы:
обратите внимание: fggtreswerr.php в этом коде вам нужно заменить на свою новую страницу входа.
в этом коде:
add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url'); - необходимы для входа и выхода (если используется виджет входа вп).
код использует wp_nonce_url для генерирования случайной строки в урл. Необходимая мера для защиты.
$redirect=home_url(); - после выхода - редирект на главную страницу
источник
Плюсы:
Теперь ваш wp-login.php закрыт для всех
вам в .htaccess каждый раз не нужно вписывать ваш новый динамический айпи.
Блогом продолжают пользоваться ваши многие зарегистрированные пользователи
Файлы движка мы не трогаем
Код в functions.php ни коем образом не грузит сайт
Минусы:
При обновлении движка блога вам нужно скопировать новый wp-login.php в ваш файл авторизации и выполнить пункт 3
Но это так просто:)
А что вы скажите на это? http://seopmr.ru/zashhita-wordpress-menyaem-imya-administratora-i-pryachem-wp-login-php-wp-admin.html
В посте показал чем ваш метод не подходит. Буду рад услышать поправки.
Для тех кто в теме (имеет элементарные навыки в сисадминстве) прилагаем файл с 26 к адресами которые засветились в этой атаке. Возможно попало сколько-то и не ботов, но пока жалоб от клиентов особых не было, да и исключить можно легко по запросу клиента. Для тех, кто не в теме - вам придется поставить ipset для iptables и затем использовать модуль ipset в правилах. Это существенно уменьшит нагрузку на сервер или ВПС (На ВПС с OpenVZ или Virtuozzo - работать не будет!)
Скачать можно отсюда (около 800 кб): http://rusfolder.com/37497023
Сет назван badip, тип iphash.
Правила для iptables:
iptables -A INPUT -m set --set badip src -j LOG --log-level info --log-prefix "# blocked due to attack#" # эта строчка необязательна, используется для того, чтобы понимать что атака блокируется
iptables -A INPUT -m set --set badip src -j DROP
А что вы скажите на это? http://seopmr.ru/zashhita-wordpress-menyaem-imya-administratora-i-pryachem-wp-login-php-wp-admin.html
В посте показал чем ваш метод не подходит. Буду рад услышать поправки.
НИОЧЕМ
php всеравно дергается, нагрузка на сервер всеравно будет большая
А вы попробуйте для перебора использовать GPU, а не CPU. :)
да какая разница?
в 10-символьном пароле 699 823 827 359 474 784 комбинаций.
на двух gtx570 можно добиться скорости в 90 миллиардов в секунду, итого это займет 90 дней.
но данная скорость подбора паролей возможно лишь для устаревшего zip 2.0, а rar-архивы используют современное шифрование. насколько я помню комменты - некоторым удавалось добиться 54к паролей в секунду на 2-х видео-картах. сколько лет надо, чтобы подобрать такой пароль?
многие продавцы программ взлома rar-паролей честно предупреждают, что реальная цифра длины пароля, которую можно подобрать не больше 6-7 символов.
да и вообще тема не об этом, а о том, что тупо перебирать символы данная бот-сеть не может - если 54к паролей в секунду неэффективно, но что уж говорить о 2-3 паролей в секунду, которая данная сеть может себе позволить?
максимум они могут перебрать до 3 символов, да и то я не думаю, что они это будут делать. гораздо эффективнее по словарю пробовать.
---------- Добавлено 05.08.2013 в 14:53 ----------
А мой хостер firstvds взял мой код для блокировки по IP отсюда и заблочил глобально все админки 😂 Радикалы просто.
хм. я сам у них vds держу - кроме утреннего предупреждения на email никаких больше действий от них не замечено.
они реально по словарю работают :) это легко увидеть если глянуть tcpdump ом какие запросы они шлют. и судя по всему это работает прекрасно для их целей, так как ботнет то живой и пока помирать не собирается...
Вообще я вижу это какая-то бессмысленная затея. Ломать надо, чтобы никто не заметил, а тут подняли всех и укладывают этим действием сервера. Какой смысл?!
Вообще я вижу это какая-то бессмысленная затея. Ломать надо, чтобы никто не заметил, а тут подняли всех и укладывают этим действием сервера. Какой смысл?!
код без багов никто писать не может, а вредоносный код тем более. ну вот тут не вышло интервал между запросами соблюсти 😂