Брут админок сайтов под видом поисковых роботов

Тема в разделе "Мегафлуд", создана пользователем Sergo_Sev, 30 июл 2013.

  1. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    Недавно повис хостинг, после просмотра логов на всех сайтах, увидел такую интересную картину в логах WordPress сайта

    Код:
    112.78.112.43 - [Thu, 25 Jul 2013 13:15:54 +0400] - /wp-login.php -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
    112.78.112.43 - [Thu, 25 Jul 2013 13:16:00 +0400] - /wp-login.php?redirect_to=http%3A%2F%2Fsite.ru%2Fwp-admin%2F&reauth=1 -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
    112.78.112.43 - [Thu, 25 Jul 2013 13:16:01 +0400] - /wp-login.php -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
    112.78.112.43 - [Thu, 25 Jul 2013 13:16:07 +0400] - /wp-login.php?redirect_to=http%3A%2F%2Fsite.ru%2Fwp-admin%2F&reauth=1 -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
    Ясное дело, что бинг не будет каждые 3 секунды по несколько часов и ежедневно обращаться к админке WordPress. После проверки логов на других сайтах на нескольких разных серверах, увидел подобную картину, но только с joomla.
    Естественно брут админки не страшен, когда пароль состоит из 15 различных букв, цифр и символов, но сервер грузит это не слабо.
    Порылся в поисках вариантов защиты, а потом пришел к самому простому но верному решению - закрыл директорию с админкой через .passwd

    1) создать файл с названием ".htpasswd" в корне сайта и при помощи сайтаhttp://www.htaccesstools.com/htpasswd-generator/ сгенерировать его содержание, указав желаемый логин и пароль.

    2) для Joomla в файл ".htaccess" в папке /administrator/ добавить следующие строки:

    AuthName "Access Denied"
    AuthType Basic
    AuthUserFile полный_путь_до_корня_сайта/.htpasswd
    require valid-user

    для WordPress в файл ".htaccess" в корне сайта добавить следующие строки:

    <Files wp_login.php>
    AuthName "Access Denied"
    AuthType Basic
    AuthUserFile полный_путь_до_корня_сайта/.htpasswd
    require valid-user
    </Files>

    где "полный_путь_до_корня_сайта" - это абсолютный путь от корня файловой системы.
    например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd
     
    8Katalin8 и jabbaxatt нравится это.
  2. Genk0

    Genk0 Инквизитор из раздела J!

    Moderator
    Регистр.:
    2 июн 2010
    Сообщения:
    1.639
    Симпатии:
    1.337
    Ну так и дальше то что? :D
    Помоему всем давным давно известно паролирование директории, доступ к адресу только определенному IP через htaccess.
    У ВП и джумл есть плагины для защиты от брута - банят ИПы, вешают замудренные капчи, проверки различные.
    И в каждое ветке CMS есть подобные темы - "защита".
     
  3. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    С хорошим паролем его и так не подберут, а толку от плагинов как раз нет - IP не у всех постоянный, капча тоже сервер грузит, хоть и немного, плагины с доступом по не стандартному адресу тоже оказались не эффективны т.к. при попытке обращения к стандартному адресу, перенаправляют на главную страницу (20 таких запросов и хостинг висит). Единственное самое хорошее решение - полностью изменить адрес админки, но инструкций не нашел
    Может конечно кто подскажет хороший плагин, но вроде все варианты просмотрел и ничего дельного вообще не увидел, в частности автоматический бан IP при частых обращениях к админке joomla

    Тему можете отправить в мегафлуд если сочтете нужным
     
  4. XUC

    XUC Ушел в небытие

    Регистр.:
    3 сен 2006
    Сообщения:
    810
    Симпатии:
    505
    есть тема по бруту IPB - грамотному кодеру писать в ПМ
     
  5. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    А вот и хостер FastVPS даже очухался и прислал сообщение по этому вопросу
    Факт в том, что раньше так массово не брутили сайты, а тут все и сразу, что сервера сразу полегли, хостер зато порадовал качественной инструкцией по защите сайтов
     
  6. Genk0

    Genk0 Инквизитор из раздела J!

    Moderator
    Регистр.:
    2 июн 2010
    Сообщения:
    1.639
    Симпатии:
    1.337
    Если она такая качественная, почему бы не поделиться?!
     
  7. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    Обновил сообщение, но как выше я и писал, самым простым и эффективным вариантом оказалось закрытие админки через .htpasswd паролем

    Еще, что интересно - сайты были на нескольких серверах, но брутили ВСЕ сайты за последние дни. А вот DLE остался не тронутым т.к. там админку изначально требуется переименовать для безопасности. Странно что такие крутые движки как WP и Joomla не имеют стандартно такой возможности.
     
  8. jabbaxatt

    jabbaxatt Добрый модератор

    Moderator
    Регистр.:
    21 янв 2009
    Сообщения:
    881
    Симпатии:
    414
    Явление сиё было массовоё. Мой VDS вообще положили нафиг. В течении нескольких секунд - нагрузка на 100%.

    Не сразу понял, но потом по логам понял - подбирают пароли к админке Joomla, причём на ВСЕХ сайтах и со скоростью 1-2 попытки на каждый сайт в секунду. С разных IP

    Пока не сменил URL админки - так всё и висело. Меняйте адреса по которым можно открыть админку и пароли нормальные ставьте.

    Об этом пишут:
    На хабре
    На серче
     
    Sergo_Sev нравится это.
  9. jabbaxatt

    jabbaxatt Добрый модератор

    Moderator
    Регистр.:
    21 янв 2009
    Сообщения:
    881
    Симпатии:
    414
    У Joomla - настрой редирект не на главную а на 404 - есть такая возможность. Cразу нагрузка упала. На WP не знаю, но подозреваю тоже должна быть встроенная возможность такого.

    Просто раньше ленивые типа меня - не настраивали всю эту элементарную защиту. А теперь вот пришлось. Ибо повесили сервак наглухо.

    .htaccess закрыть IP - не всем подойдёт. У меня на работе например, IP динамический, меняется постоянно. Так что закрыть доступ по IP - не мой вариант. А вот страница авторизации в админке по секретному адресу - самое то.
     
    Sergo_Sev нравится это.
  10. Sergo_Sev

    Sergo_Sev Творец

    Регистр.:
    14 июн 2008
    Сообщения:
    571
    Симпатии:
    188
    Да кто ж знал, что сервера полягут, ведь за несколько лет не было таких проблем, например к моим сайтам пароли все равно не подберут и за 300 лет, а нагрузка слишком большая - идиотский подход ко взлому т.к. кроме нагрузки на сервера и паники среди владельцев сайтов больше никакого результата
    На форумах вижу, что пишут про 2-ое августа, но у меня пошла нагрузка от перебора еще раньше. Так же судя по логам подбор паролей был и раньше, но не такой активный и выборочно, а не на все сайты сразу

    Видимо я панику поднял раньше и даже успел на всех сайтах защиту поставить до начала активной атаки ;)