Ботнет 10к+ на wp-login

Frost bite
На сайте с 20.10.2007
Offline
158
#291
Flector:
попробуйте просто для интереса подобрать пароль к RAR-архиву с 10-символьным бессмысленным паролем. хотя лучше и не пытаться - ничего не выйдет даже на новейших процах.

А вы попробуйте для перебора использовать GPU, а не CPU. :)

Vladimir
На сайте с 07.06.2004
Offline
386
#292
Realtim:
Скажите, только ограничение по ip уже достаточно для 100% защиты от взлома?

- достаточно, запрет доступа для папок с файлами админских и исполняемых файлов, запрет на файл логина.

При этом сайте никаких капч, и никаких регистраций для пользователей, комментарии пишутся, спам отсутствует.

Соответсвенно данный ботнет никак не напрягает, ни на одном хостинге, все сайты в нормальном полете.

Да, не забываем, что кроме нагрузки на движок(при открытом файле логина) идет еще нагрузка на почтовые ящики сервера, отправить... принять майл дэливери

Аэройога ( https://vk.com/aeroyogadom ) Йога в гамаках ( https://vk.com/aero_yoga ) Аэройога обучение ( https://aeroyoga.ru ) и просто фото ( https://weandworld.com )
Mikanoshi
На сайте с 09.10.2008
Offline
92
#293
Flector:
но на одном из сайтов регистрация открытая, а таким макаром всех выпилил :(

А мой хостер firstvds взял мой код для блокировки по IP отсюда и заблочил глобально все админки 😂 Радикалы просто. Снизить нагрузку можно ещё убрав логи например и минимизировав размер 403 документа:

<Location ~ "/(wp-login\.php|administrator|admin\.php)">
ErrorLog "/dev/null"
AccessLog "/dev/null"
ErrorDocument 403 "-"
Order deny,allow
Deny from all
Allow from 11.22.33.44
</Location>

Но лучше бы они взяли код с куками, у меня после него ни одной попытки залогиниться от бота не было, всем 403 отдаётся, зато логин и админка работают для юзеров:

RewriteCond %{HTTP_COOKIE} !humans=fucking_love_cookies
RewriteCond %{QUERY_STRING} !(callback|logout|lostpassword)
RewriteRule ^(wp-login\.php|administrator|admin\.php) - [F,L]
ErrorDocument 403 "<html><body><script>document.cookie='humans=fucking_love_cookies;path=/';location.reload();</script></body></html>"
seopmr
На сайте с 02.04.2012
Offline
12
#294
Otshelnik-Fm:
Решение для тех у кого много пользователей пользуются авторизацией.

1. Создаете файл в корне блога (там где wp-login.php), называете его как хотите, но не так как в этой статье. Я назвал его fggtreswerr.php

2. в него копируете весь код из wp-login (код придется обновить при обновлении движка в будущем)
3. В этом файле (fggtreswerr.php) находите все упоминания wp-login.php и меняете на имя созданного файла (в моем примере fggtreswerr.php). У меня нашел 20 упоминаний. Сохраняете.

Теперь вы можете зайти на блог через строку http://ваш-сайт/fggtreswerr.php

4. Закрываем в файле .htaccess (в корне блога) доступ к wp-login.php. Для этого вписываем
<filesmatch "wp-login.php">

Order Allow,Deny
Deny from all
</filesmatch>


и при заходе http://ваш-сайт/wp-login.php сервер будет отдавать 403 код.

5. но в админке для того чтобы выйти нам надо переписать адрес выхода. Используем экшн, вписываем его в файл functions.php своей темы:



обратите внимание: fggtreswerr.php в этом коде вам нужно заменить на свою новую страницу входа.

в этом коде:

add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url'); - необходимы для входа и выхода (если используется виджет входа вп).

код использует wp_nonce_url для генерирования случайной строки в урл. Необходимая мера для защиты.

$redirect=home_url(); - после выхода - редирект на главную страницу

источник

Плюсы:
Теперь ваш wp-login.php закрыт для всех
вам в .htaccess каждый раз не нужно вписывать ваш новый динамический айпи.
Блогом продолжают пользоваться ваши многие зарегистрированные пользователи
Файлы движка мы не трогаем
Код в functions.php ни коем образом не грузит сайт

Минусы:
При обновлении движка блога вам нужно скопировать новый wp-login.php в ваш файл авторизации и выполнить пункт 3

Но это так просто:)

А что вы скажите на это? http://seopmr.ru/zashhita-wordpress-menyaem-imya-administratora-i-pryachem-wp-login-php-wp-admin.html

В посте показал чем ваш метод не подходит. Буду рад услышать поправки.

Веду скромный блог http://seopmr.ru/ (http://seopmr.ru/)
rustelekom
На сайте с 20.04.2005
Offline
488
#295

Для тех кто в теме (имеет элементарные навыки в сисадминстве) прилагаем файл с 26 к адресами которые засветились в этой атаке. Возможно попало сколько-то и не ботов, но пока жалоб от клиентов особых не было, да и исключить можно легко по запросу клиента. Для тех, кто не в теме - вам придется поставить ipset для iptables и затем использовать модуль ipset в правилах. Это существенно уменьшит нагрузку на сервер или ВПС (На ВПС с OpenVZ или Virtuozzo - работать не будет!)

Скачать можно отсюда (около 800 кб): http://rusfolder.com/37497023

Сет назван badip, тип iphash.

Правила для iptables:

iptables -A INPUT -m set --set badip src -j LOG --log-level info --log-prefix "# blocked due to attack#" # эта строчка необязательна, используется для того, чтобы понимать что атака блокируется

iptables -A INPUT -m set --set badip src -j DROP

SSD KVM ВПС от 129 ₽ в Германии и Нидерландах. SSD хостинг от 119 ₽ в Германии или России |Выделенные серверы в Европе, Азии, США и РФ ( https://www.robovps.biz/ ) Контакты: Telegram чат ( https://t.me/rustelekom_bot ) или LiveChat на любом из наших сайтов.
T1
На сайте с 03.05.2011
Offline
35
#296
seopmr:
А что вы скажите на это? http://seopmr.ru/zashhita-wordpress-menyaem-imya-administratora-i-pryachem-wp-login-php-wp-admin.html
В посте показал чем ваш метод не подходит. Буду рад услышать поправки.

НИОЧЕМ

php всеравно дергается, нагрузка на сервер всеравно будет большая

Flector
На сайте с 09.09.2006
Offline
186
#297
Frost bite:
А вы попробуйте для перебора использовать GPU, а не CPU. :)

да какая разница?

в 10-символьном пароле 699 823 827 359 474 784 комбинаций.

на двух gtx570 можно добиться скорости в 90 миллиардов в секунду, итого это займет 90 дней.

но данная скорость подбора паролей возможно лишь для устаревшего zip 2.0, а rar-архивы используют современное шифрование. насколько я помню комменты - некоторым удавалось добиться 54к паролей в секунду на 2-х видео-картах. сколько лет надо, чтобы подобрать такой пароль?

многие продавцы программ взлома rar-паролей честно предупреждают, что реальная цифра длины пароля, которую можно подобрать не больше 6-7 символов.

да и вообще тема не об этом, а о том, что тупо перебирать символы данная бот-сеть не может - если 54к паролей в секунду неэффективно, но что уж говорить о 2-3 паролей в секунду, которая данная сеть может себе позволить?

максимум они могут перебрать до 3 символов, да и то я не думаю, что они это будут делать. гораздо эффективнее по словарю пробовать.

---------- Добавлено 05.08.2013 в 14:53 ----------

Mikanoshi:
А мой хостер firstvds взял мой код для блокировки по IP отсюда и заблочил глобально все админки 😂 Радикалы просто.

хм. я сам у них vds держу - кроме утреннего предупреждения на email никаких больше действий от них не замечено.

rustelekom
На сайте с 20.04.2005
Offline
488
#298

они реально по словарю работают :) это легко увидеть если глянуть tcpdump ом какие запросы они шлют. и судя по всему это работает прекрасно для их целей, так как ботнет то живой и пока помирать не собирается...

LEOnidUKG
На сайте с 25.11.2006
Online
1598
#299

Вообще я вижу это какая-то бессмысленная затея. Ломать надо, чтобы никто не заметил, а тут подняли всех и укладывают этим действием сервера. Какой смысл?!

✅ Трастовых площадок под размещение статей и ссылок. Опыт 12 лет! ( https://searchengines.guru/ru/forum/675690 ) ⭐ Купить вечные трастовые ссылки для сайта ( https://getmanylinks.ru/?srh ) ⭐ Ускорение ваших сайтов (WP, Opencart и др.) + Настройка сервера ( https://searchengines.guru/ru/forum/997205 )
M
На сайте с 24.10.2011
Offline
163
#300
LEOnidUKG:
Вообще я вижу это какая-то бессмысленная затея. Ломать надо, чтобы никто не заметил, а тут подняли всех и укладывают этим действием сервера. Какой смысл?!

код без багов никто писать не может, а вредоносный код тем более. ну вот тут не вышло интервал между запросами соблюсти 😂

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий