|
| Дата |
|
USD/RUB | 90.2486 | BTC/USD | 69169.3774 |
|
|
|
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии. |
09.04.2013, 23:00
|
Start Post: POST /wp-login.php HTTP/1.1 DDOS замучал
|
All is Dust
Регистрация: 18.12.2008
Сообщений: 314
Бабло: $61480
|
Привет всем!
Что то последние 2 дня у меня на всех серваках прям жуть сколько запросов
POST /wp-login.php HTTP/1.1
Посмотрите, у вас нет ничего подобного?
|
|
|
10.04.2013, 18:26
|
#12
|
автоматизирую интернеты
Регистрация: 05.07.2009
Адрес: chesser.ru
Сообщений: 3,362
Бабло: $470735
|
Цитата:
Сообщение от masolit
а тупо спрятать админку )) не вариант ?
|
дык все равно будут простукивать по несуществующим адресам, напрягая сервер.
К тому же wp будет продолжать нагружаться, отдавая свои софтовые 404.
а 444 ответ в nginx обрубает соединение с клиентом, не посылая ему ничего, как-будто такого ip/сервера не существует или уже упал. Эта операция дешевая для веб-сервера, дешевле других вариантов.
Можно слать 301 редирект в гугл, как некоторые делают, но это подтверждение того, что сервер шевелится и его можно продолжать ддосить.
обычно эти правила выявления и отсекания ботов сложнее, используется комплексный подход.
Но даже по ua, реферерам и локейшенам можно хорошо нагрузку снять.
Самое главное - это не давать этим заниматься вашему любимому апачу
|
|
|
10.04.2013, 18:50
|
#13
|
саловер
Регистрация: 17.04.2007
Сообщений: 3,265
Бабло: $302675
|
chesser а плагин который такое делает тебе не встречался?
буду признателен
|
|
|
10.04.2013, 19:03
|
#14
|
Senior Member
Регистрация: 31.03.2011
Сообщений: 3,360
Бабло: $669045
|
D007
ты не правильно понял, он дал кусочек конфига к nginx
|
|
|
10.04.2013, 19:29
|
#15
|
автоматизирую интернеты
Регистрация: 05.07.2009
Адрес: chesser.ru
Сообщений: 3,362
Бабло: $470735
|
Цитата:
Сообщение от D007
chesser а плагин который такое делает тебе не встречался?
буду признателен
|
в том то и смысл - обрубать плохой коннект ДО апача/fastcgi и других backend-серверов, т.е. фильтрация должна проходить на фронтенде веб-сервера: nginx, lighttpd, varnish-ем и тд.
а если коннект дошел до WP, то он уже его грузанет, или как минимум толстый апач выделит под него память
|
|
|
11.04.2013, 03:08
|
#16
|
саловер
Регистрация: 17.04.2007
Сообщений: 3,265
Бабло: $302675
|
мммм...
|
|
|
11.04.2013, 17:23
|
#17
|
Senior Member
Регистрация: 02.12.2007
Сообщений: 326
Бабло: $85195
|
Ещё так можно сделать
PHP код:
<Files "wp-login.php"> order allow,deny Allow from СвойIP </Files>
+закрыть админку
Последний раз редактировалось Shawn; 11.04.2013 в 17:29.
|
|
|
14.04.2013, 00:52
|
#18
|
Senior Member
Регистрация: 25.12.2008
Сообщений: 1,099
Бабло: $272735
|
Цитата:
Последние несколько дней в Сети наблюдается интенсивная Brute Force атака, направленна на подбор паролей для аккаунтов сайтов на базе свободного движка WordPress. Атака носит массовый характер, так как организована с использованием крупного ботнета.
Попавшие под действие атаки сайты подвергаются проверке входа под логином "admin" через страницы /wp-login.php и /wp-admin с использованием примерно тысячи наиболее популярных паролей. В случае если подбор пароля оказался успешен, в движок WordPress внедряется бэкдор, который подсоединяет взломанный сайт в состав ботнета и позволяет сохранить контроль даже после смены пароля. Поражённый хост и начинает участвовать в Brute Force атаке для выявления других жертв, но также может принимать команды и выполнять другие действия, типичные для ботнетов, такие как совершение DDoS-атак.
Отмечается, что ботнет из серверов значительно более опасен в плане совершения DDoS-атак, чем ботнет из пользовательских машин, так как серверные системы имеют доступ к более широким каналам связи (стомегабитный порт для сервера в крупном датацентре уже в порядке вещей) и более болезненны при блокировке (на одном IP могут находиться сотни сайтов). При этом, даже не связанный с DDoS-атакой трафик, генерируемый в процессе наблюдаемого подбора парлей, негативно повлиял на деятельность некоторых хостинг-компаний, так как он существенно искажает типичную для хостинг операторов ориентацию на преобладание исходящего трафика. Текущий размер ботнета из WordPress серверов уже оценивается в более чем 90 тысяч хостов.
Всем администраторам блогов на базе движка WordPress рекомендуется убедиться в использовании надёжного несловарного пароля для своих аккаунтов. Кроме того, для блокирования атаки советуют не использовать для администратора логин admin, защитить доступ к скрипту wp-login.php через дополнительною Basic-аутентификацию на уровне http-сервера или разрешить вход только с определённых IP. Для ещё более серьёзной защиты можно использовать дополнения с реализацией двухуровневой аутентификации с одноразовыми паролями.
|
3символа
|
|
|
14.04.2013, 12:32
|
#19
|
AdCoin Россия
Регистрация: 10.07.2008
Сообщений: 455
Бабло: $40675
|
от атаки не защитит, но безопасности добавит:
поменять стандартное "admin" на свое кастомное имя - занимает пару минут. ну и пароль сложный от 12 знаков - это само собой. еще у меня на всех вп-движках стоит плагин Limit Login Attempts.
хотя, увы, это все меры по факту атаки - все равно сервак нагружается этими запросами. но, по крайней, мере, пасс никто не подберет - сплю спокойно.
|
|
|
14.04.2013, 22:25
|
#20
|
Senior Member
Регистрация: 26.01.2009
Адрес: Ленинград
Сообщений: 642
Бабло: $106689
|
а пример бэкдора есть гденить?
|
|
|
14.04.2013, 23:48
|
#21
|
Вот так.
Регистрация: 03.10.2008
Сообщений: 356
Бабло: $80608
|
|
|
|
|