Атака на сервер

[Lord_Woland]

Доброе время суток всем. Нужен совет по такой вот ситуации.
Есть шаред хост у kvcwebhost. На нем стоит CPanel с 20 доменами. В последнее время, 2 домена начали конкретно ддосить, что этот шаред начинает падать. Как я понял, сервер не имеет ддос защиту. А постоянно писать в сапорт и просить заблокировать атакующие IP через фаервол надоело.
Атаку производят на xmlrpc.php с фейк User-Agent гугла и wp-login.php (post запросы). На ум приходит две мысли. Полностью заблокировать доступ к этому файлам или поставить редирект с xmlrpc.php файла на мелкософтный сайт, только не дадут ли мне по башке за такой редирект?
Кто какие способы защиты знает? Буду признателен за любые советы.
P.S. Переезд на другой сервер не предлагать так как нужна именно сетка IP А-классов.

 

[mrLom]

Атаку производят на xmlrpc.php с фейк User-Agent гугла и wp-login.php (post запросы). На ум приходит две мысли. Полностью заблокировать доступ к этому файлам или поставить редирект с xmlrpc.php файла на мелкософтный сайт, только не дадут ли мне по башке за такой редирект?

Делайте редирект в космос или на порно. Некоторые на конкретный ip заворот делают — например 127.0.0.1, дополнительно сделайте базовую аутентификацию на админку.
Сделайте фаервол с ограничением запросов в минуту до трех, как только превышает этот показатель, до трех в десять минут. Сейчас почти любой провайдер вам даст любую подсетку, от А до С. У буржуев конечно с этим могут быть проблемы, но у нас можно обо всем договориться!
Я помнится по молодости в банку мёда (для не знающих, читайте honeypot) или на сервера конкурентов завороты делал

 

[Lord_Woland]

Делайте редирект в космос или на порно

Попробую на несуществующий. Пускай долбятся.

Сделайте фаервол с ограничением запросов в минуту до трех, как только превышает этот показатель, до трех в десять минут.

Не подскажите как такое провернуть в CPanel или на WordPress? На ISPManager такое сделать могу, а вот в спанельке функционал ограничен. На WP пока поставил плагин wordfense. Спасибо.

 

[mrLom]

Что касается iptables, то его может рут-админ сделать; вы являетесь рутом? Если нет, то вам придется писать в тех.поддерку. хостинга.
Вам понадобится писать правила с критерием limit, он позволит вам ограничить количество пакетов в единицу времени — ддос станет вялой. Если мне не отшибает память, то вот вам пример правила:

iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m limit --limit 16/sec --limit-burst 16 -j ACCEPT
iptables -P INPUT DROP

Из матчасти, как правило, на один запрос требуется два пакета — SYN и пакеты данных — подобной инструкцией мы ограничим количество новых пакетов и разрешим открывать не более 16 новых соединений в секунду. Сколько вам нужно дать "народу хлеба" решайте сами, тут зависит от многих факторов. А вообще не занимайтесь фигней, в провайдере вам должны в технической поддержке помочь с вашей проблемой, такие правила вам напишет любой квалифицированный линукс-админ. Просто ставьте правильно задачи и задавайте вопросы.

На счет базовой авторизации апачей, то это пожалуй можно и из панели.
Читайте матчасть Для просмотра ссылки Войди или Зарегистрируйся

 

[GabrielVan]

насчет wp-login.php я обычно закрываю через .htaccess закрываю директорию для всех кроме своего ip, сразу как то спокойней а то вордпрес еще та дыра(обычно не он, а левые компоненты, но береженого бог бережет)))))

upd: директорию wp-admin закрываю.

 

[Lord_Woland]

Всем большое спасибо за советы, очень помогли. Будем писать индусам, пускай шевелят своими попами.

 

[huyteo]

Зачем вам xmlrpc.php или вы удалённо что редактируете создаёте?? Отключайте его плагином Disable XML-RPC и вообще если у вас шаред, установить нужно вам ninjafirewall.

 

[Lord_Woland]

Зачем вам xmlrpc.php или вы удалённо что редактируете создаёте?? Отключайте его плагином Disable XML-RPC и вообще если у вас шаред, установить нужно вам ninjafirewall.

Да он (xmlrpc.php) мне и не нужен. Плагин то отключен, но на него идет целенаправленная атака. Несмотря на то, что он выдает 403. По поводу плагина, взял на заметку, стоящая вещь. Спасибо вам!

 

[huyteo]

Почитайте Для просмотра ссылки Войди или Зарегистрируйся
И переходите что ли на vps, сами себе хозяин будете.

 

[Lord_Woland]

Почитайте Для просмотра ссылки Войди или Зарегистрируйся
И переходите что ли на vps, сами себе хозяин будете.

Спасибо за статью. Насчет VPS, то нам не дают на нем 25IP A-класса. Вот и приходится на сео-шаред хостинге ютится.