Форум Сайтостроение Администрирование серверов

Ботнет 10к+ на wp-login

1 2345678910 ...72
cyb3r
На сайте с 13.02.2013
Offline
59
cyb3r
#31

27к в бане и отступления пока не наблюдаем :(

A
На сайте с 03.08.2009
Offline
121
anat
#32

Уже скриптом баним многочисленные:

POST wp-login.php

POST /admin.php

GET /administrator/index.php

GET /index.php?do=register

POST /index.php?do=register

POST /wp-login.php

...

КВ
На сайте с 02.07.2012
Offline
47
Кот в сапогах
#33

Какой тематики сайты?

Glueon
На сайте с 26.07.2013
Offline
172
Glueon
#34
Den73:
нет, просто софт для брута не качественный или тот кто его настраивал с головой не дружит.

Хотя тема, на мой взгляд, интересна. Поломать существующий блог и воткнуть JS-ник, отправляющий запросы на другой WP-Login. Вроде политика безопасности браузера это не всегда запрещает.

Есть много IP-сетей в аренду под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot ⚒ ContactRoot команда опытных сисадминов (/ru/forum/861038), свой LIR: сдаем в аренду сети IPv4/v6 (/ru/forum/1012475).
D
На сайте с 05.06.2007
Offline
155
Dimanych
#35
anat:
Уже скриптом баним многочисленные:
POST wp-login.php
POST /admin.php
GET /administrator/index.php
GET /index.php?do=register
POST /index.php?do=register
POST /wp-login.php
...

Парсите скриптом и в фаервол IP-шки?

Нормальных заблокируете.

Написал не мало шедевров ;)
esetnod
На сайте с 16.07.2009
Offline
134
esetnod
#36

Есть такое дело, на данный момент 13871 ip в блоке.

Быстрый хостинг на SSD от $0.99 (http://just-hosting.ru/) | OpenVZ (http://just-hosting.ru/vds.html) и KVM (http://just-hosting.ru/vds-kvm.html) VDS от $7.95
A
На сайте с 20.08.2010
Offline
775
awasome
#37

А не подскажите, что за реферер типа такого FhrB5gnCgDo? Набор букв и цифр какой-то, каждый раз разный

Glueon
На сайте с 26.07.2013
Offline
172
Glueon
#38
michaek:
http://www.abuse.ch/?p=5520
не этот случай?

Если честно, то по тексту связей не заметил ...

A
На сайте с 03.08.2009
Offline
121
anat
#39
Dimanych:
Парсите скриптом и в фаервол IP-шки?
Нормальных заблокируете.

Скриптом лог ngi.., повторяющиеся ({if ($1>хх))и "тупые" запросы в бан.

Не первый день... никого еще не блокировали легитимного.

7.7к в бане.

maximus200
На сайте с 08.09.2004
Offline
185
maximus200
#40

Аналогичная проблема, решил простым правилом в корневом .htaccess

Закрывает полностью обращение к этой странице от всех. 

<Files wp-login.php>

Deny from all

</Files>

Для доступа по определенному ip пишем так в .htaccess 

<Files wp-login.php>

Deny from all

Allow from 19.22.12.19 

</Files>

где вместо 19.22.12.19 прописываем нужный ip, каждый новый ip с новой строчки.

По ip блочить не вижу смысла, насобирал около 20к ip с которых были заходы на сей адрес. После сего действия нагрузка на сервер значительно снизилась. В логах запросы идут, но всем отдается 403-я ошибка. Возможно для кого то эта информация будет полезной.

1 2345678910 ...72

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий