Ботнет 10к+ на wp-login

Кстати, где-то час назад бот нет снова довольно сильно активировался.

У меня это превратило весь сайт в ошибку 500. Сделал всё правильно.

Я закрыл админку от всех IP кроме своих через httpd.conf

<Location ~ "/(wp-login\.php|administrator|admin\.php)">

Order deny,allow

Deny from all

Allow from 11.22.33.44

</Location>

Скажите, пожалуйста, как сделать исключение для одного сайта, чтобы это правило для одного сайт не работало? т.е. там можно было зайти с любого IP,

Конкретно для вас видимо достаточно. Но кроме вас у хостера еще 100500 клиентов на том же движке которые могут не чесаться. Вот тут уже сложнее так как по сути если на сервере много клиентов получается нехилый такой ддос.

Думаете долго будут подбирать пароли? А то отписал хостингу, с вопросом: почему сайты лежат третий день, и когда заработает? Ответили, что ждут завершения атаки.

Часть хостеров уже поднялась. Но не все:(

Это еще не было?

Заблокировать атакующих можно следующими командами фаервола:

/sbin/iptables -t raw -A PREROUTING -p tcp -m tcp --dport 80 -m string --algo kmp --string "POST /wp-login.php HTTP/1.0" -j DROP

/sbin/iptables -t raw -A PREROUTING -p tcp -m tcp --dport 80 -m string --algo kmp --string "POST /administrator/index.php HTTP/1.0" -j DROP

Браузеры подключаются по протоколу HTTP/1.1, поэтому функционировать административная часть сайта продолжит.

это не эффективно

1. боты умеют HTTP/1.1

2. сканить все пакеты не самая лучшая идея

У кого сервера, свежий список этого ботнета в файл ips можно получить такой командой:

Если у вас расширенный лог с доменами то нужно использовать $2.

Чтобы убедиться что данная команда находит только ботов, можно проверить вывод соответствующих логов этой командой:

Далее этот список можно добавить в фаервол для блокировки, либо заблокировать всё через

iptables -A INPUT -s 1.1.1.1 -j DROP

Но учтите что боты это обычные пользователи и у многих IP динамические, так что блокировать только пока не закончится атака.

Помониторил, у 99% ботов всего 3 user-agent, можно еще так закрыть:

SetEnvIfNoCase User-Agent "Firefox/19.0" getout

SetEnvIfNoCase User-Agent "Version/11.10" getout

SetEnvIfNoCase User-Agent "Safari/537.36" getout

<Location ~ "/(wp-login\.php|administrator|admin\.php)">

Order Allow,Deny

Allow from All

Deny from env=getout

</Location>

а кто-нибудь уже делал Honeypot? каковы действия после подбора? что заливают, что искать?

Еще днём nginx'ом закрыл доступ для айпишников из http://brute.aghost.biz/block.txt и http://lists.blocklist.de/lists/bruteforcelogin.txt. fail2ban с wp-fail2ban настроил на единичные фейл логины. Нагрузка спала до чуть выше нормальной.