Боты научились добавлять http:// в referer.
Лично я нагрепал около 25к разных адресов. Думаю, что там их больше.
Fader, да, у меня снова поперло, видимо боты спали. Метод через выставление куки действенный, куча ответов по 100 байт не создают никакой весомой нагрузки.
Сейчас флудит около 140 уникальных адресов в минуту.
mvolgin, лучше отсекать через куки, конечно маловероятно, что кто-то заходит в админку больше 10 раз в день (до ротации логов), но вероятность убить нормального клиента есть.
Ботнет притух, сейчас прет около 5-10 запросов в минуту.
tlk, мой список обновляется раз в минуту, там уже больше 18к записей.
Для тех, кто использует CSF, можно добавить список в автоапдейт - жмем LFD BlockList и добавляем
#Wordpress BruteForce IPs
WORDPRESS|3600|0|http://lists.blocklist.de/lists/bruteforcelogin.txt
AGHOST|3600|0|http://brute.aghost.biz/block.txt
Помониторил, у 99% ботов всего 3 user-agent, можно еще так закрыть:
SetEnvIfNoCase User-Agent "Firefox/19.0" getout
SetEnvIfNoCase User-Agent "Version/11.10" getout
SetEnvIfNoCase User-Agent "Safari/537.36" getout
<Location ~ "/(wp-login\.php|administrator|admin\.php)">
Order Allow,Deny
Allow from All
Deny from env=getout
</Location>
Алзим, конечно, если мастер сделал логин/пароль к БД - user/123456, то вероятность взлома его базы есть, данные боты ломятся с примерно такими логинами/паролями =)
xpycteamset, Это бот, который phpmyadmin брутфорсит, такие тоже есть, но они безвредные все.
Fader, да таких адресов там уже больше десятка тысяч, вообще странный
алгоритм атаки, 88.12.49.237 у нас нигде не фигурирует, скорей всего разные контроллеры ботов с разными пулами IP.
GamletOrtikov, такой метод будет нагружать веб сервер ответами 403. В любом случае хоть какая-то нагрузка будет, зависит от кол-ва ботов.
