Форум Сайтостроение Администрирование серверов

Меня брутят? Помогите новичку плз

G
На сайте с 28.02.2016
Offline
60
gregoro
1636

Привет всем.

В администрировании серверов шарю посредственно(

Сайт притормаживал последние дни (связывал это с переездом на новый тариф с ssd дисками, хотя не мог понять как это влияет - наоборот быстрее должно быть).

В логах ошибок сервера только что нашел строчку вида:

[Sun Mar 27 15:44:33.355861 2016] [:error] [pid 23063] [client 46.185.7.160:49372] [client 46.185.7.160] ModSecurity: Access denied with code 403 (phase 2). Operator GT matched 15 at IP:wplogin. [file "/usr/local/share/mod_security/rules.conf"] [line "82"] [id "6668"] [msg "Bruteforce attack login: BLOCKED 46.185.7.160 (611 connection attempts)"] [hostname "moi-sait.ru"] [uri "/wp-login.php"] [unique_id "VvfVsV-Vh64AADlcRzMAAAAK"], referer: http://moi-sait.ru/wp-login.php

Где moi-sait.ru - это, соответственно, мой сайт.

Это кто-то брутит как я понял?

Что делать в таких ситуациях?

Блочить IP через htaccess?

И мог ли из-за этого сайт притормаживать? Запросов не так много было - где-то один в минуту...

C
На сайте с 26.10.2013
Offline
54
colorito
#1

Я поставил в конфиг nginx такой код и забил


location ~* /(wp-login\.php|xmlrpc\.php|administrator|admin\.php) {
    default_type text/html;
    set $humantest 0;
    if ($http_cookie !~* "humans=checktest") {
        set $humantest 1;
    }
    if ($args ~* (callback|logout|lostpassword)) {
        set $humantest 0;
    }

    if ($humantest = 1) {
        return 200 "<html><body><script>document.cookie='humans=checktest;path=/';location.reload();</script></body></html>";
    }
    error_page 404 = @fallback;
}

Если на сервере стоит ISP Manager, то в /usr/local/ispmgr/etc/nginx.inc

Услуги по парсингу данных (/ru/forum/939826), единоразовый и регулярный сбор данных. Любые объемы. Скрипты на PHP, создание и доработка, решение проблем с сайтами Пишите в личные сообщения или скайп
G
На сайте с 28.02.2016
Offline
60
gregoro
#2
colorito:
Я поставил в конфиг nginx такой код и забил

У меня шаред-хостинг)

Как я понимаю, я ничего не могу прописать в конфиг сервера)

Я пока заблочил через IP в htaccess следующими строками

Order Allow,Deny

Allow from All

Deny from 46.185.7.160, 37.115.195.161

Но он падла несколько раз ткнулся, потом с другого айпи долбить стал

Wordpress - пытаются подобрать Google Закрыть доступ на сайт
impossible
На сайте с 12.01.2008
Offline
216
impossible
#3

Разрешите доступ к файлу только с вашего айпи и все

Атака по 1 запросу в минуту не должна создавать нагрузок.

M
На сайте с 04.08.2008
Offline
80
Muhandis
#4

Блочить в htaccess по каждому IP с котого брутят бесполезно. Уже давно по всем сайтам ходят пауки, которые ищут уязвимости в популярных CMS, либо брутят, пытаясь подобрать пароли к админкам. И IP с которых это происходит несчетное количество, даже если блокировать подсети

Порой, если это виртуальный хостинг, то большое количество таких ботов (а их будет становится все больше, как только ваш сайт проиндексируется) может сильно загрузить ваши сайты. В свое время это было для меня серьезной проблемой, но я переехал на VPS на hetzner. ПРоблем с нагрузкой вроде больше нет (тьфу-тьфу-тьфу :) ). Хотя бруты и плохие пауки постоянно делают свою грязную работу, судя по логам.

Еще способ блокировать админку через .htaccess. Запретить доступ всем кроме своей подсетки IP. К примеру, для Joomla это надо сделать в папке www/example.ru/administrator/ Но это неуниверсальное решение. Если админкой пользуетесь не только Вы это не выход.

Второй способ поставить антибрут плагины для CMS или вообще для сервера.

---------- Добавлено 28.03.2016 в 14:40 ----------

impossible:
Разрешите доступ к файлу только с вашего айпи и все
Атака по 1 запросу в минуту не должна создавать нагрузок.

По одной атаке в минуту обычно не брутят ) У меня например по логам по несколько раз в секунду юывает. А посколько сайт может быть не один, то и того больше... Это конечно не DDOS, но если хостинг слабый, то перегрузка гарантирована

Распространённые ошибки веб-мастеров при forum.searchengines.ru переезжает на новый Серверное обеспечение для PBN
Katrin1988
На сайте с 14.03.2012
Offline
78
Katrin1988
#5

На слабом хостинге даже наплыв ботов ПС может создать видимость брута. Почти для любых ЦМС можно сделать паролирование папки админки или скрыть админку переименовыванием. Это хорошо поможет от брута. Если конечно на главной нет формы для входа пользователей. В таком случае надо решать вопросы с капчей. На шареде вы от брута больше ничего не придумаете

LinkBoss.net - Трастовые ссылки для увеличения трафика в 10 раз! (http://linkboss.net/)
Умный бот в Одноклассниках Яндекс запустил Турбо-сайты в Яндекс.Почта 360 избавит от

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий