Ботнет 10к+ на wp-login

Z
На сайте с 06.09.2012
Offline
129
#411
Mikanoshi:
Да я уже написал для нгинкса, выше в теме есть, для пользователей всё прозрачно.
Добавить нужные урлы и лимиты по вкусу)

Ну нам нужно было от всех ботов отбиваться. Там еще ньюансы были, например - как узнать, бот это или нет, если это его первый запрос, т.е. куки еще нет? Один из способов - не париться, а кэшировать ответ для первых запросов и отдавать из кэша, а на апач пускать только с кукой, но тогда не для всех сайтов работает, нужно limit_req'и ставить выборочно. Хотя для предотвращения POST запросов это помогает.

В общем кому еще надо - обращайтесь, сделаем все с комментариями, для дальнейших атак будете подготовлены.

Черный список врунов и обманщиков: ua-hosting.company, riaas.ru, takewyn.ru, yahoster/cadedic, Andreylab
seocore
На сайте с 25.09.2006
Offline
143
#412
Mikanoshi:
seocore, ну если 404 отдавать вордпрессом, завернув в шаблон сайта, то конечно)

так это и будет у тех, кто просто переименует страничку-скрипт авторизации

zzzit:
Там еще ньюансы были, например - как узнать, бот это или нет, если это его первый запрос, т.е. куки еще нет?

а есть боты, которые и куки ставят и JavaScript выполняют :)

Инструменты для веб-мастера: кластеризатор СЯ (https://goo.gl/MQWfqO), все запросы конкурента (https://goo.gl/hd5uHS), дешевые XML-лимиты (https://goo.gl/aDZbPI)
Silva
На сайте с 10.07.2008
Offline
98
#413
Romka_Kharkov:
В таком случае ждите пока ботов станет 20-30k и так далее :) раз сервер мощный, не знаю что у вас там за железо но у меня i7 , 32 G ram , болтался в районе 80-90% пока не начал рубать хосты…. 🍿

Возможно этого из-за того, что хосты рубит у меня движок, при 3-х неверных авторизациях ip блокируется на 20 минут…

параметры сервера хуже чум у вас…

Z
На сайте с 06.09.2012
Offline
129
#414
seocore:
а есть боты, которые и куки ставят и JavaScript выполняют :)

Да. Потому решение с кукой работает только для тупых ботов и потому сами использовали раньше такие костыли на nginx, теперь у нас все по взрослому :)

O
На сайте с 04.04.2013
Offline
44
#415
seopmr:
эээ, как бэ атаки ведутся/велись и на мой блог тоже, так что я не называл бы это чужим несчастьем, а общим делом как минимум. вы можете зайти на пост через анонимайзер, скорее всего ваш айпи был забанен моим хостером за излюшнюю и бесполезную активность (например вы пытались зайти на страницы вп админ или вп логин пхп) 😕 почему вы не можете лично зайти я могу только догадываться... 🍿
пс
вы можете вообще игнорировать меня если вас что то напрягает, те кто хотят получить пользу - они получат (уже получили)

Тоже зайти не могу на ваш блог... вы что отрубили всех кроме себя?

Otshelnik-Fm
На сайте с 03.08.2013
Offline
36
#416
seopmr:
эээ, как бэ атаки ведутся/велись и на мой блог тоже, так что я не называл бы это чужим несчастьем, а общим делом как минимум. вы можете зайти на пост через анонимайзер, скорее всего ваш айпи был забанен моим хостером за излюшнюю и бесполезную активность (например вы пытались зайти на страницы вп админ или вп логин пхп) 😕 почему вы не можете лично зайти я могу только догадываться... 🍿
пс
вы можете вообще игнорировать меня если вас что то напрягает, те кто хотят получить пользу - они получат (уже получили)

http://host-tracker.com/check_res_ajx/13571174-0/ ваш блог не вижу не только я.

Вы сначала выявили минусы в предоставленном мною методе, но не здесь, а по ссылке на ваш блог. Потом вы снова даете ссылку с помощью, пользователю dr.bering.

Я уже писал, что данный способ имеет дырку, он не рабочий по факту. Вот методология, которая помогла мне

И вы не можете написать сюда копипастом? Этот форум доступен, и решение нужно людям сейчас, а не потом, когда ваш сайт из дауна выйдет.

так что я не называл бы это чужим несчастьем, а общим делом как минимум

Так и помогайте здесь :)

seocore
На сайте с 25.09.2006
Offline
143
#417
Silva:
Возможно этого из-за того, что хосты рубит у меня движок, при 3-х неверных авторизациях ip блокируется на 20 минут…
параметры сервера хуже чум у вас…

да уж, красивое объяснение только оторвано от реальности

что на самом деле:

1) если сайтов на Joomla/WP/DLE на сервере немного, скажем так - до 10-30 штучек, то такому серверу никак не мешает брутфорс, так как брутфорсят плавно и не более Н-ного числа запросов к 1 сайту за промежуток времени

2) если сайтов на сервере тысячи (типично для шаред-хостинга), то по 100 запросов\минуту на каждый уже гарантированно ложит типичный сервер "из коробки"

3) когда правил в iptables уже под 50к, тогда начинает уже подтупливать (т.е. уже видна визуально деградация производительности)

хостеры поступили по-разному, многие просто закрыли доступ к этим страничкам, кто-то придумал свои хитрые решения

zzzit:
Да. Потому решение с кукой работает только для тупых ботов и потому сами использовали раньше такие костыли на nginx, теперь у нас все по взрослому :)

правильно, возможно "повзрослеть" в плане защиты придется всем (недавние UDP атаки на шаред хостинги тоже показатель), так как то, что сейчас происходит это явно начало, никто не мешал атакующим не только перебирать пароли, но еще и проверять сайты на уязвимости

Mikanoshi
На сайте с 09.10.2008
Offline
92
#418
zzzit:
теперь у нас все по взрослому :)

Железом?) Ибо софтом нельзя отбить грамотный ддос/брут

VE
На сайте с 17.08.2006
Offline
76
#419

Ок. Joomla/WP/DLE. А почему притаились друпаловоды? Их сайтинки весьма прожорливы и достаточно раскиданы на простых шаредах. Их не трогают? Может кто из присутствующих хостеров пояснит что по друпалу (на дру тишина).

И второе. А как с платными CMS? Как-то не верится, что их не трогают.

Интерес не праздный. Смотрел, кто еще на одном хостинге с некоторыми подконтрольными сайтами. Есть подозрения, что их тоже колбасят.

D
На сайте с 05.06.2007
Offline
155
#420

Не знаю как у других, у нас боты отступают постепенно, активных IP в блоке не более 1к на каждом сервере :)

Написал не мало шедевров ;)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий