На тему брутфорса

От брутфорса (подбор пароля последовательным перебором) решение элементарное - перед проверкой пароля ставить задержку, сначала ноль, потом при неправильном пароле секунду, потом каждый раз при неправильном пароле задержку увеличивать в два раза.

Что брутят-то? Вы случаем не путаете брутфорс с дидос :D

sladkydze, проблема должна быть решена на уровне сайта.

- капча

- изменить url admin

- доступ c определенных ипов

- базовая авторизация

Все это может сделать владелец сайта и без вас.

poiuty, но дело в том, что ТС'у, как хостеру, это тоже доставляет определенные проблемы. И убедить каждого клиента внедрить подобные меры - дело довольно геморройное.

Так вы сделайте так, чтобы брутфорсить было нечего.

Админки пожет под htpasswd?

или

конструкции такого вида:

<directory root-admin="/administrator">

Order deny, allow

deny from all

Allow from ваш Ip

</directory>

+ Я где то видел инструкцию как включить ssh когда это нужно по http, погуглите.

Также видел полно авторских статей как отправлять в бан при брутфорсе)

Вариантов полно)

А клиентам выдать инструкции по тем вариантам, которые больше для вас приемлемы и нра)

Что именно брутфорсят?

Если ssh, то спасает простая смена порта.

Если чтото на сайтах, то бороться придется средствами сайта, хотя можно в фаервол заносить ипы.

Обнаружить IP делающие брут форс, можно в логах access_log.

Потом занести их в фаервол.

Но делать это нужно с ведома владельца сайта.

Так как при обнаружении IP имеется некоторый процент ложных срабатываний.

Который можно снизить настройкой параметров анализатора.

Могу настроить вам программный бан ботов.

/ru/forum/648730

Для начала нужно знать что именно брутфорсят.

И уже потом думать как это защитить

Универсальной защиты не существует.

У меня нет шаред хостинга. У меня IaaS. То есть по сути сотни VDS на виндах и линухах. Убедить клиентов что либо внедрять на их машинах - неблагодарный труд. Никто этого делать не будет (за редким исключением).

Поэтому хочется внедрить некое решение на уровне входящих каналов, анализировать трафик проксированием и фильтровать нехороший трафик. Чтобы не сотни машин делали одну и ту же работу, а по сути одна специализированная.

Убеждать не нужно. А нужно писать честные лимиты по потреблению ресурсов и отрубать тех пользователей, которые лимиты превышают.

Большинство хостеров так и делают. После чего клиент идет искать защищенный от ддос сервис или переходит на более дорогой тариф.

Универсальных фильтров не существует.

А если и есть, то они очень дороги и требуют квалифицированного администрирования.

На рынке есть услуга фильтрации трафика проксированием.

Стоимость от 150$ в месяц.

Но это уже будет целый антиддос сервис.

И что бы его самому предоставлять нужен большой опыт.

Вы же пишете «В вопросе слабо разбираюсь.»

sladkydze, посмотрел логи /var/log/auth.log (вдс, который кстати у вас), за неделю нету ни одной попытки авторизироваться по ssh который на не стандартном порту. зато у сервера, у которого ssh на 22 порту (пустой вдс, валяется без дела, ничего не настраивал на нем) - от строк "Failed password for root from" логи распухают нереально.

Отсюда вывод, написать юзерам инструкцию как настроить фаервол, сменить ssh порт, это нужно всего небольшую статейку, с мелкими изменениями под каждый дистрибутив (дебиан/убунду, центос, фрибздю)...

Еще можно (если технически можно) забанить китай и индию на подходе к юзерским серверам, врятли арендующим вдс в москве нужны эти страны, зато минимум процентов 70 вредоносной нагрузки отстанет. для примера - лог попыток спама моего конструктора, сплошной китай с примесью индии.