Ну вот об том и речь, что с некоторыми этого делать не стоит. Но я думаю, также, что стоит всем тем, кто говорил о каких-то проблемах на стороне провайдера (типа похерили впску клиента и т.п.), извиниться за свои инсинуации. Потому что, подрыв доверия со стороны клиентов и так в наличии из-за массовой безграмотности населения в хостинге и в интернете вообще а также из-за огромного количества непрофессиональных профессионалов, а тут еще коллеги намекают на всякое разное.
А кто сказал, что тут была полиция? Вообще, это типичный случай когда добро возвращается злом:) Как обычно делается:
1) Информация дошла до провайдера (неважно как и от кого)
2) Провайдер рассмотрел проблему и сделал выводы (в данном случае сервер порутан и держать его в сети нельзя)
3) Сервер стопится насмерть (клиент его включить не может) клиенту посылается уведомление
Когда ответит клиент тогда и будут разбираться с тем что делать дальше. При этом вполне очевидно, что доступ на порутанный сервер и вообще запускать этот сервер никто не будет.
Единственное что было сделано не по этой схеме - сделали дамп (то есть заранее облегчили клиенту работу) + подготовили сервер для того, чтобы можно было быстро начать работу. + Предложили клиенту помощь с восстановлением. И получили что за это? Правильно, кучу дерьма да плюс комменты от коллег не на тему. Мораль басни каждый пусть для себя выведет сам. Я думаю, что ради одного неадекватного товарища, изменять свое отношение к делу не надо, но кто хочет, может думать иначе. Большинство все же сказало бы спасибо и принялось бы восстанавливать данные а не разводить публичный диспут о том, кто прав и кто виноват.
Вам предоставили достаточно полную информацию в /ru/forum/comment/12024363
К сожалению, для скомпрометированных на уровне пользователя root серверов других вариантов кроме реинсталла и восстановления данных из бекапа не существует ни у кого.
Бедные клиенты, как их мозг перегружен ненужной информацией. Правда намного проще:
1) Не гонитесь за дешевизной/халявой. Пока провайдеры не будут получать разумные деньги за свои услуги, ваши проблемы останутся без решения. Будут отключать за перерасход ресурсов, за перебор количества посетителей, за ддос атаки и т.п. и т.д. Цены на хостинг ниже плинтуса и на таком уровне цен обеспечить стабильное качество услуг для всех НЕВОЗМОЖНО. Рано или поздно, цены начинают сказываться. Бесспорно, ситуация
2) Вы владелец сайта. Вы ответственны за все, что происходит на нем. Поэтому необходимо не просто закинуть сайт к хостеру и забыть о нем, а постоянно им заниматься. И не только вопросами продвижения, ранжирования и т.п., но и техническими проблемами - от постоянной оптимизации скриптов, до защиты от вот скажем таких брутфорс атак. Если вы не готовы к такой работе - полно готовых сервисов платных и бесплатных где вам могут предложить и полное обслуживание вашего магазина, блога, форума и автоматическое обновление всего ПО и любую защиту которая может понадобиться. Содержание сайта, к сожалению, не сводится только к наполнению контентом.
Таковы суровые реалии жизни и пока клиенты это не поймут, постоянно будут всплывать те или иные проблемы и темы подобные этой.
PS. Нисколько не хочу сказать, что вялая и медленная техподдержка - это норма. Это просто результат пункта №1 обычно.
Если товарищи клиенты сподобятся это все делать, то и хостеру не нужно будет блочить все подряд, что лезет на wp-login.php. И проблем станет меньше. Логично же? Правда это, конечно, из области, если "все будут трудиться честно" :) Но все же проблем станет меньше, да и смысла вести атаку не станет. Во всяком случае на те хосты, где меры приняты.
Конкретно для вас видимо достаточно. Но кроме вас у хостера еще 100500 клиентов на том же движке которые могут не чесаться. Вот тут уже сложнее так как по сути если на сервере много клиентов получается нехилый такой ддос.
Рецепты простые - сменить имя файла для входа, разрешить доступ в админку только для своего ай-пи, сделать редирект с капчей и т.п. Для каждой CMS свои рецепты приводятся на соответствующих CMS форумах. Не панацея, но поможет хостерам более точно рубить нелегитимные коннекты. Сейчас приходится всем подряд отрубать и разрешать доступ только по запросу.
Фомам неверующим лучше обратить свое внимание в сторону зомби ящика. Проблема не новая и глобальная. В США началась еще в апреле, в РФ и Европе на прошлой неделе приобрела массовый характер. Таких глобальных атак раньше не было, отдельные сайты только брутили.
они реально по словарю работают :) это легко увидеть если глянуть tcpdump ом какие запросы они шлют. и судя по всему это работает прекрасно для их целей, так как ботнет то живой и пока помирать не собирается...
Для тех кто в теме (имеет элементарные навыки в сисадминстве) прилагаем файл с 26 к адресами которые засветились в этой атаке. Возможно попало сколько-то и не ботов, но пока жалоб от клиентов особых не было, да и исключить можно легко по запросу клиента. Для тех, кто не в теме - вам придется поставить ipset для iptables и затем использовать модуль ipset в правилах. Это существенно уменьшит нагрузку на сервер или ВПС (На ВПС с OpenVZ или Virtuozzo - работать не будет!)
Скачать можно отсюда (около 800 кб): http://rusfolder.com/37497023
Сет назван badip, тип iphash.
Правила для iptables:
iptables -A INPUT -m set --set badip src -j LOG --log-level info --log-prefix "# blocked due to attack#" # эта строчка необязательна, используется для того, чтобы понимать что атака блокируется
iptables -A INPUT -m set --set badip src -j DROP
