Брут админок сайтов под видом поисковых роботов

[Sergo_Sev]

Недавно повис хостинг, после просмотра логов на всех сайтах, увидел такую интересную картину в логах WordPress сайта

112.78.112.43 - [Thu, 25 Jul 2013 13:15:54 +0400] - /wp-login.php -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
112.78.112.43 - [Thu, 25 Jul 2013 13:16:00 +0400] - /wp-login.php?redirect_to=http%3A%2F%2Fsite.ru%2Fwp-admin%2F&reauth=1 -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
112.78.112.43 - [Thu, 25 Jul 2013 13:16:01 +0400] - /wp-login.php -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
112.78.112.43 - [Thu, 25 Jul 2013 13:16:07 +0400] - /wp-login.php?redirect_to=http%3A%2F%2Fsite.ru%2Fwp-admin%2F&reauth=1 -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)

Ясное дело, что бинг не будет каждые 3 секунды по несколько часов и ежедневно обращаться к админке WordPress. После проверки логов на других сайтах на нескольких разных серверах, увидел подобную картину, но только с joomla.
Естественно брут админки не страшен, когда пароль состоит из 15 различных букв, цифр и символов, но сервер грузит это не слабо.
Порылся в поисках вариантов защиты, а потом пришел к самому простому но верному решению - закрыл директорию с админкой через .passwd

Спойлер: Инструкция по защите админок

1) создать файл с названием ".htpasswd" в корне сайта и при помощи сайтаДля просмотра ссылки Войди или Зарегистрируйся сгенерировать его содержание, указав желаемый логин и пароль.

2) для Joomla в файл ".htaccess" в папке /administrator/ добавить следующие строки:

AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user

для WordPress в файл ".htaccess" в корне сайта добавить следующие строки:

<Files wp_login.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
</Files>

где "полный_путь_до_корня_сайта" - это абсолютный путь от корня файловой системы.
например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd

 

[Genk0]

В космос лететь!

Я пример привел и возможно кто интересными мыслями поделится - брутят сайты массово, значит у большинства те же проблемы, если сайты на WP или joomla

Ну так и дальше то что?
Помоему всем давным давно известно паролирование директории, доступ к адресу только определенному IP через htaccess.
У ВП и джумл есть плагины для защиты от брута - банят ИПы, вешают замудренные капчи, проверки различные.
И в каждое ветке CMS есть подобные темы - "защита".

 

[Sergo_Sev]

Ну так и дальше то что?
Помоему всем давным давно известно паролирование директории, доступ к адресу только определенному IP через htaccess.
У ВП и джумл есть плагины для защиты от брута - банят ИПы, вешают замудренные капчи, проверки различные.
И в каждое ветке CMS есть подобные темы - "защита".

С хорошим паролем его и так не подберут, а толку от плагинов как раз нет - IP не у всех постоянный, капча тоже сервер грузит, хоть и немного, плагины с доступом по не стандартному адресу тоже оказались не эффективны т.к. при попытке обращения к стандартному адресу, перенаправляют на главную страницу (20 таких запросов и хостинг висит). Единственное самое хорошее решение - полностью изменить адрес админки, но инструкций не нашел
Может конечно кто подскажет хороший плагин, но вроде все варианты просмотрел и ничего дельного вообще не увидел, в частности автоматический бан IP при частых обращениях к админке joomla

Тему можете отправить в мегафлуд если сочтете нужным

 

[XUC]

есть тема по бруту IPB - грамотному кодеру писать в ПМ

 

[Sergo_Sev]

А вот и хостер FastVPS даже очухался и прислал сообщение по этому вопросу

В течение двух дней мы получили огромное число запросов, связанных с падением серверов, на которых были сайты, основанные на CMS WordPress и Joomla. Как выяснилось, данные падения связаны с перебором паролей на админ-панель сайта. Перебор паролей носит характер DDoSа, т.к. осуществляется многопоточно и с разных IP адресов.

1) создать файл с названием ".htpasswd" в корне сайта и при помощи сайта Для просмотра ссылки Войди или Зарегистрируйся сгенерировать его содержание, указав желаемый логин и пароль.

2) для Joomla в файл ".htaccess" в папке /administrator/ добавить следующие строки:

AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user

для WordPress в файл ".htaccess" в корне сайта добавить следующие строки:

<Files wp_login.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
</Files>

где "полный_путь_до_корня_сайта" - это абсолютный путь от корня файловой системы.
например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd

Факт в том, что раньше так массово не брутили сайты, а тут все и сразу, что сервера сразу полегли, хостер зато порадовал качественной инструкцией по защите сайтов

 

[Genk0]

А вот и хостер FastVPS даже очухался и прислал сообщение по этому вопросу


Факт в том, что раньше так массово не брутили сайты, а тут все и сразу, что сервера сразу полегли, хостер зато порадовал качественной инструкцией по защите сайтов

Если она такая качественная, почему бы не поделиться?!

 

[Sergo_Sev]

Обновил сообщение, но как выше я и писал, самым простым и эффективным вариантом оказалось закрытие админки через .htpasswd паролем

Еще, что интересно - сайты были на нескольких серверах, но брутили ВСЕ сайты за последние дни. А вот DLE остался не тронутым т.к. там админку изначально требуется переименовать для безопасности. Странно что такие крутые движки как WP и Joomla не имеют стандартно такой возможности.

 

[jabbaxatt]

Явление сиё было массовоё. Мой VDS вообще положили нафиг. В течении нескольких секунд - нагрузка на 100%.

Не сразу понял, но потом по логам понял - подбирают пароли к админке Joomla, причём на ВСЕХ сайтах и со скоростью 1-2 попытки на каждый сайт в секунду. С разных IP

Пока не сменил URL админки - так всё и висело. Меняйте адреса по которым можно открыть админку и пароли нормальные ставьте.

Об этом пишут:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся

 

[jabbaxatt]

плагины с доступом по не стандартному адресу тоже оказались не эффективны т.к. при попытке обращения к стандартному адресу, перенаправляют на главную страницу (20 таких запросов и хостинг висит).

У Joomla - настрой редирект не на главную а на 404 - есть такая возможность. Cразу нагрузка упала. На WP не знаю, но подозреваю тоже должна быть встроенная возможность такого.

Просто раньше ленивые типа меня - не настраивали всю эту элементарную защиту. А теперь вот пришлось. Ибо повесили сервак наглухо.

.htaccess закрыть IP - не всем подойдёт. У меня на работе например, IP динамический, меняется постоянно. Так что закрыть доступ по IP - не мой вариант. А вот страница авторизации в админке по секретному адресу - самое то.

 

[Sergo_Sev]

Просто раньше ленивые типа меня - не настраивали всю эту элементарную защиту. А теперь вот пришлось. Ибо повесили сервак наглухо.

Да кто ж знал, что сервера полягут, ведь за несколько лет не было таких проблем, например к моим сайтам пароли все равно не подберут и за 300 лет, а нагрузка слишком большая - идиотский подход ко взлому т.к. кроме нагрузки на сервера и паники среди владельцев сайтов больше никакого результата
На форумах вижу, что пишут про 2-ое августа, но у меня пошла нагрузка от перебора еще раньше. Так же судя по логам подбор паролей был и раньше, но не такой активный и выборочно, а не на все сайты сразу

Видимо я панику поднял раньше и даже успел на всех сайтах защиту поставить до начала активной атаки