Fader

Fader
Рейтинг
86
Регистрация
08.06.2008
Новая тизерная сеть Kadam.ru - выгодные цены на клик
Kadam:
Здравствуйте!

В данный момент более 30 рекламодателей по тематике адалт, трафик выкупается стабильно.

С уважением,

Биржа трафика kadam.ru

Тогда жду ответа по тикету #2077

Ботнет 10к+ на wp-login
AGHost:
Ботнет притух, сейчас прет около 5-10 запросов в минуту.

у меня уже последние пол суток валит что-то такое:

95.56.94.67 - - [07/Aug/2013:14:25:56 +0300] "GET /wp-login.php HTTP/1.1" 401 188 "-" "Mozilla/5.0 (Parsley NT 1.0; rv:1.0) Parsley/1.0.0.0"
37.229.56.162 - - [07/Aug/2013:14:26:36 +0300] "GET /wp-login.php HTTP/1.1" 401 188 "-" "Mozilla/5.0 (Parsley NT 1.0; rv:1.0) Parsley/1.0.0.0"
89.252.55.80 - - [07/Aug/2013:14:28:36 +0300] "GET /wp-login.php HTTP/1.1" 401 188 "-" "Mozilla/5.0 (Parsley NT 1.0; rv:1.0) Parsley/1.0.0.0"
46.98.48.123 - - [07/Aug/2013:14:28:53 +0300] "GET /wp-login.php HTTP/1.1" 401 188 "-" "Mozilla/5.0 (Parsley NT 1.0; rv:1.0) Parsley/1.0.0.0"
95.134.77.54 - - [07/Aug/2013:14:31:43 +0300] "GET /wp-login.php HTTP/1.1" 401 188 "-" "Mozilla/5.0 (Parsley NT 1.0; rv:1.0) Parsley/1.0.0.0"
195.114.154.148 - - [07/Aug/2013:14:33:58 +0300] "GET /wp-login.php HTTP/1.1" 401 188 "-" "Mozilla/5.0 (Parsley NT 1.0; rv:1.0) Parsley/1.0.0.0"
89.209.99.124 - - [07/Aug/2013:14:34:08 +0300] "GET /wp-login.php HTTP/1.1" 401 188 "-" "Mozilla/5.0 (Parsley NT 1.0; rv:1.0) Parsley/1.0.0.0"

юзерагента Firefox/19.0 уже давно не было

Ботнет 10к+ на wp-login

http://news.drweb.com/?i=3811&c=5&lng=ru&p=0

Новая тизерная сеть Kadam.ru - выгодные цены на клик

с адалтом все также плохо у тизерки?

Ботнет 10к+ на wp-login

народ, подкиньте кто красивые fail2ban failregex'ы для nginx логов (error и access) для отлавливания ботов щемящихся на wp-login.php

Ботнет 10к+ на wp-login

у меня часа 2 назад атака прекратилась. Только с низкой частотой бомбят wp-login с bad_referrer. И все тот же настырный айпишник: 88.12.49.237

Просто интересно, у кого это айпи еще присутствует?

Ботнет 10к+ на wp-login
AGHost:
GamletOrtikov, предложите свой вариант, как устранить ддос для нескольких сотен сайтов на wp.

для сотен сайтов на WP логично предположить подключение include файла отвечающего за безопасность. если на этапе первоначального конфигурирования этого сделано не было, то видимо остается отбиваться только на уровне системы (iptable, ipchains, ipset, fail2ban etc...).

Иначе http_auth, mod_security, mod_access наше все...

Ботнет 10к+ на wp-login

анализируя логи обратил внимание на запросы к wp-login.php с bad referrer. они не такие частые как брутфорсовые но долбят с завидным постоянством. а главное айпишник один и тот же - 88.12.49.237.

может это какой-то сигнальный бот?

88.12.49.237 - - [04/Aug/2013:19:00:37 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "YDLKR6QjF73HnV1"
88.12.49.237 - - [04/Aug/2013:19:01:14 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "d6AubrlR7RIsGbX9Hg1"
88.12.49.237 - - [04/Aug/2013:19:01:49 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "4jWgWaQBX8 KotorHe"
88.12.49.237 - - [04/Aug/2013:19:02:28 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "rbkwniAU dqyT"
88.12.49.237 - - [04/Aug/2013:19:03:05 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "yhIG5 IX688sCC"
88.12.49.237 - - [04/Aug/2013:19:03:42 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "35rBoZIyB5SR"
88.12.49.237 - - [04/Aug/2013:19:04:19 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "0IX6GEq 7u8xhH"
88.12.49.237 - - [04/Aug/2013:19:04:54 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "Wyt HylfwHLMvgsoL"
88.12.49.237 - - [04/Aug/2013:19:05:30 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "KIJ4VpZuB8K"
88.12.49.237 - - [04/Aug/2013:19:06:07 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "TmpLljTAaaZsh8h VDWz"
88.12.49.237 - - [04/Aug/2013:19:06:43 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "KPcwMY2S emHfAp"
88.12.49.237 - - [04/Aug/2013:19:07:21 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "IX7qyVoNN0WB"
88.12.49.237 - - [04/Aug/2013:19:07:57 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "kig9vZ05Ew"
88.12.49.237 - - [04/Aug/2013:19:08:34 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "WTsJcPUCG cc qk"
88.12.49.237 - - [04/Aug/2013:19:09:10 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "CuTbGPEwkGE q70"
88.12.49.237 - - [04/Aug/2013:19:09:45 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "HByHe wDZ PS2Uuww"
88.12.49.237 - - [04/Aug/2013:19:10:22 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "UfiS6tg Kea"
88.12.49.237 - - [04/Aug/2013:19:10:58 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "6GFHc4LEotvM"
88.12.49.237 - - [04/Aug/2013:19:11:35 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "jkgmIKSi BMYuN"
88.12.49.237 - - [04/Aug/2013:19:12:11 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "k8KZBFEGLBzVLnwAH"
88.12.49.237 - - [04/Aug/2013:19:12:48 +0300] "POST /wp-login.php HTTP/1.0" 401 188 "-" "JfyuO kSOYdB"
Ботнет 10к+ на wp-login

http basic auth для nginx:

# Restricting access to Wordpress login page by http basic auth
location ~* ^/wp-login.php$ {
<------>auth_basic "Restricted";
<------>auth_basic_user_file /<PATH>/htpasswd;

<------># PHP config
<------>fastcgi_pass <PHP_BACKEND>;
<------>include fastcgi_params;
<------>fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

под красным маркером заменить на свои значения

вообще, я тут немного запараноился: а не пытаются ли сниффить хакеры наши пароли? Может стоит задуматься не только о защите от нагрузки и брута? Возможно ли как-то проанализировать этот момент? Есть ли тут в ветке специализирующиеся безопасники?

Ботнет 10к+ на wp-login

такое ощущение что все на апаче сидят

вот для nginx:

location ~ ^/(wp-admin|wp-login\.php) {
allow <your IP address/subnet>;
deny all;
}

вот что об этом думает кодекс:

http://codex.wordpress.org/Brute_Force_Attacks

1 2345678910 ...59
Всего: 585