Подскажите, каким образом прописали редирект и прочее?
Как то глобально в nginx вроде не получится, на все вирт-хосты?
Либо в апаче?
Не совсем понимаю, ниже по теме там пишут что они ставят версию:
The beta BIOS is V2.4B3, released on 07/10/2013
А у меня вот какая
# dmidecode 2.11
SMBIOS 2.7 present.
79 structures occupying 3000 bytes.
Table at 0x000EC2C0.
Handle 0x0000, DMI type 0, 24 bytes
BIOS Information
Vendor: American Megatrends Inc.
Version: V2.14B3
Release Date: 07/24/2013
Address: 0xF0000
Runtime Size: 64 kB
ROM Size: 8192 kB
Обновляли 27го числа.
esetnod, боюсь списки дропать только в крайнем случае, по той простой причине что с большой вероятностью актуальность списка пропадёт через день и пострадают невинные пользователи. (динамические IP)
Сильно и не волнуемся, просто волн несколько разных, и не все можно выявить без ущерба.
А вообще эти бруты уже замучали, насилуют сервера, можно было бы клиентов в 2 раза больше размещать еслиб не они 🍿
Ушла волна, щас вернётся без кривого реферера и будет делов.
Я так понимаю разные атаки.
На нас основной груз вида:
domain.ru 178.172.185.13 - - [02/Aug/2013:16:35:46 +0400] "POST /wp-login.php HTTP/1.0" 403 185 "domain.ru/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0" 1.659
Реферер без http://, и это основное спасение, но данный тип атаки отступил....
Кто-то балуется нажимая кнопки, основная мощь атаки продлилась около часа.
STATUS: banned 85 total 2625
Парсите скриптом и в фаервол IP-шки?
Нормальных заблокируете.
По нашим показателям ботнет отступает, 9000 в бане, LA нормальный.
Den73, у кого частная проблема, а не шаред хостинг, достаточно переименовать файлик либо открыть доступ только для своего IP.
Хотя wp-login это и для обычного пользователя... тогда некатит открыть для своего IP)
zexis, Не все запросы можно видеть как от бота, есть не отличающиеся ничем. Из ваших вариантов поможет только смотреть есть ли статика для этого IP в близи его GET/POST на php.
Всё остальное не поможет, частота запросов оооччень низкая, некоторые вообще могут делать 1 запрос за несколько минут. Кроме WP также запросы на жумлу и другие топовые CMS, но WP больше всего. Если смотреть статику вокруг запроса, то надо чёткий белый список для поисковиков, свежего у меня нет.
Чем больше сайтов на сервере, тем больше ЛА, некоторые сервера также за 100, отклик на открытие сайта 2-3 сек для такого сервера. (есть сервера с гигантским числом сайтов)
Всё бы хорошо в нашем случае, реалтайм есть, но есть как не валидный реф, так и валидный, и юзерагент типичный + частота запросов очень низкая...
На долго ли он не валидный?
Закрывали доступ к wp-login, тикет система начинает виснуть :D
