Ботнет 10к+ на wp-login

cyb3r
На сайте с 13.02.2013
Offline
59
#31

27к в бане и отступления пока не наблюдаем :(

A
На сайте с 03.08.2009
Offline
121
#32

Уже скриптом баним многочисленные:

POST wp-login.php

POST /admin.php

GET /administrator/index.php

GET /index.php?do=register

POST /index.php?do=register

POST /wp-login.php

...

КВ
На сайте с 02.07.2012
Offline
47
#33

Какой тематики сайты?

Glueon
На сайте с 26.07.2013
Offline
172
#34
Den73:
нет, просто софт для брута не качественный или тот кто его настраивал с головой не дружит.

Хотя тема, на мой взгляд, интересна. Поломать существующий блог и воткнуть JS-ник, отправляющий запросы на другой WP-Login. Вроде политика безопасности браузера это не всегда запрещает.

Есть много IP-сетей в аренду под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot ⚒ ContactRoot команда опытных сисадминов (/ru/forum/861038), свой LIR: сдаем в аренду сети IPv4/v6 (/ru/forum/1012475).
D
На сайте с 05.06.2007
Offline
155
#35
anat:
Уже скриптом баним многочисленные:
POST wp-login.php
POST /admin.php
GET /administrator/index.php
GET /index.php?do=register
POST /index.php?do=register
POST /wp-login.php
...

Парсите скриптом и в фаервол IP-шки?

Нормальных заблокируете.

Написал не мало шедевров ;)
esetnod
На сайте с 16.07.2009
Offline
134
#36

Есть такое дело, на данный момент 13871 ip в блоке.

Быстрый хостинг на SSD от $0.99 (http://just-hosting.ru/) | OpenVZ (http://just-hosting.ru/vds.html) и KVM (http://just-hosting.ru/vds-kvm.html) VDS от $7.95
A
На сайте с 20.08.2010
Offline
775
#37

А не подскажите, что за реферер типа такого FhrB5gnCgDo? Набор букв и цифр какой-то, каждый раз разный

Glueon
На сайте с 26.07.2013
Offline
172
#38
michaek:
http://www.abuse.ch/?p=5520
не этот случай?

Если честно, то по тексту связей не заметил ...

A
На сайте с 03.08.2009
Offline
121
#39
Dimanych:
Парсите скриптом и в фаервол IP-шки?
Нормальных заблокируете.

Скриптом лог ngi.., повторяющиеся ({if ($1>хх))и "тупые" запросы в бан.

Не первый день... никого еще не блокировали легитимного.

7.7к в бане.

maximus200
На сайте с 08.09.2004
Offline
160
#40

Аналогичная проблема, решил простым правилом в корневом .htaccess

Закрывает полностью обращение к этой странице от всех.

<Files wp-login.php>

Deny from all
</Files>

Для доступа по определенному ip пишем так в .htaccess

<Files wp-login.php>

Deny from all
Allow from 19.22.12.19
</Files>

где вместо 19.22.12.19 прописываем нужный ip, каждый новый ip с новой строчки.

По ip блочить не вижу смысла, насобирал около 20к ip с которых были заходы на сей адрес. После сего действия нагрузка на сервер значительно снизилась. В логах запросы идут, но всем отдается 403-я ошибка. Возможно для кого то эта информация будет полезной.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий