Ботнет 10к+ на wp-login

VB
На сайте с 24.11.2010
Offline
71
#321

Кстати, где-то час назад бот нет снова довольно сильно активировался.

ЗМ
На сайте с 11.02.2012
Offline
98
#322
Exquisitor:
http://neolot.com/wordpress/wordpres...ot-brute-force это сделал, сервер выдерживает. бот даже не доходит до php, т.е. нагрузки никакой.

У меня это превратило весь сайт в ошибку 500. Сделал всё правильно.

Я закрыл админку от всех IP кроме своих через httpd.conf

<Location ~ "/(wp-login\.php|administrator|admin\.php)">

Order deny,allow

Deny from all

Allow from 11.22.33.44

</Location>

Скажите, пожалуйста, как сделать исключение для одного сайта, чтобы это правило для одного сайт не работало? т.е. там можно было зайти с любого IP,

тут будет
rustelekom
На сайте с 20.04.2005
Offline
488
#323

Конкретно для вас видимо достаточно. Но кроме вас у хостера еще 100500 клиентов на том же движке которые могут не чесаться. Вот тут уже сложнее так как по сути если на сервере много клиентов получается нехилый такой ддос.

SSD KVM ВПС от 129 ₽ в Германии и Нидерландах. SSD хостинг от 119 ₽ в Германии или России |Выделенные серверы в Европе, Азии, США и РФ ( https://www.robovps.biz/ ) Контакты: Telegram чат ( https://t.me/rustelekom_bot ) или LiveChat на любом из наших сайтов.
M
На сайте с 19.03.2012
Offline
21
#324

Думаете долго будут подбирать пароли? А то отписал хостингу, с вопросом: почему сайты лежат третий день, и когда заработает? Ответили, что ждут завершения атаки.

Часть хостеров уже поднялась. Но не все:(

LX
На сайте с 23.11.2009
Offline
27
#325

Это еще не было?

Заблокировать атакующих можно следующими командами фаервола:

/sbin/iptables -t raw -A PREROUTING -p tcp -m tcp --dport 80 -m string --algo kmp --string "POST /wp-login.php HTTP/1.0" -j DROP

/sbin/iptables -t raw -A PREROUTING -p tcp -m tcp --dport 80 -m string --algo kmp --string "POST /administrator/index.php HTTP/1.0" -j DROP

Браузеры подключаются по протоколу HTTP/1.1, поэтому функционировать административная часть сайта продолжит.

Den73
На сайте с 26.06.2010
Offline
523
#326
lex_xs:
Это еще не было?

Заблокировать атакующих можно следующими командами фаервола:
/sbin/iptables -t raw -A PREROUTING -p tcp -m tcp --dport 80 -m string --algo kmp --string "POST /wp-login.php HTTP/1.0" -j DROP
/sbin/iptables -t raw -A PREROUTING -p tcp -m tcp --dport 80 -m string --algo kmp --string "POST /administrator/index.php HTTP/1.0" -j DROP

Браузеры подключаются по протоколу HTTP/1.1, поэтому функционировать административная часть сайта продолжит.

это не эффективно

1. боты умеют HTTP/1.1

2. сканить все пакеты не самая лучшая идея

D
На сайте с 05.06.2007
Offline
155
#327

У кого сервера, свежий список этого ботнета в файл ips можно получить такой командой:

cat /var/log/apache/access_log|grep -v -E ' "(-|http|https)'|awk '{ print $1 }'|uniq > ips

Если у вас расширенный лог с доменами то нужно использовать $2.

Чтобы убедиться что данная команда находит только ботов, можно проверить вывод соответствующих логов этой командой:

cat /var/log/apache/access_log|grep -v -E ' "(-|http|https)'

Далее этот список можно добавить в фаервол для блокировки, либо заблокировать всё через

iptables -A INPUT -s 1.1.1.1 -j DROP

Но учтите что боты это обычные пользователи и у многих IP динамические, так что блокировать только пока не закончится атака.

Написал не мало шедевров ;)
AGHost
На сайте с 16.11.2011
Offline
115
#328

Помониторил, у 99% ботов всего 3 user-agent, можно еще так закрыть:

SetEnvIfNoCase User-Agent "Firefox/19.0" getout

SetEnvIfNoCase User-Agent "Version/11.10" getout

SetEnvIfNoCase User-Agent "Safari/537.36" getout

<Location ~ "/(wp-login\.php|administrator|admin\.php)">

Order Allow,Deny

Allow from All

Deny from env=getout

</Location>

8 лет на рынке услуг хостинга - https://agho.st (https://agho.st)
D
На сайте с 26.03.2011
Offline
22
dxd
#329

а кто-нибудь уже делал Honeypot? каковы действия после подбора? что заливают, что искать?

T
На сайте с 22.04.2011
Offline
57
tlk
#330

Еще днём nginx'ом закрыл доступ для айпишников из http://brute.aghost.biz/block.txt и http://lists.blocklist.de/lists/bruteforcelogin.txt. fail2ban с wp-fail2ban настроил на единичные фейл логины. Нагрузка спала до чуть выше нормальной.

Дешевые VPS в России (http://goo.gl/DB5d0Y). Надежные сервера и VDS по всему миру (http://goo.gl/joUFXm) с мгновенным русским саппортом. Бесплатный SMS-мониторинг всего (http://goo.gl/jCIDxN) - есть API для профессионалов.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий