Брут админок сайтов под видом поисковых роботов

[jabbaxatt]

Да кто ж знал, что сервера полягут

Вот вот. Не положили бы серваки - никто бы и не дёрнулся. А то мне приходит сообщение - сайты лежат. Перезагружаю сервер - через 5 секунд уже 100% памяти и процессора занято. Через 20 сек - занят весь всоп и ещё через 20-60 падение мускула. Перезагрузил так несколько раз - и пошёл логи смотреть. А там сотни желающих загрузить /administrator на всех Joomla сайтах. А оных у меня дофига весьма, почти все, ибо любимый движок

Кстати

Для просмотра скрытого содержимого вы должны войти или зарегистрироваться.

 

[Sergo_Sev]

Кстати

Вот joostina вроде у меня тоже не тронули, но там доступ к админку чуть отличается

 

[shuran]

В принципе у меня пароль хороший и логин не admin + нестандартный адрес админки джумлы + отлуп на 404. Пытались добраться по логам видно было. Хостер запретил временно доступ ко всем админским частям Джумлы и ВП на всем хостинге. Потом открыл с посоветовали изменить адрес на нестандартный + доступ к админской папке фильтровать по ip (сами запретили доступ и попросили внести разрешенные в htaccess). Ну вот в принципе и усе!

1.0 действительно у меня не трогали. 1.5 долбали и 2.5 как я понял от других.

 

[satanlucas]

А мой хостер просто закрыл доступ к сайту из-за рубежа.. (

 

[Sergo_Sev]

Вот еще пара хостеров щас нарисовались - закрыли в наглую доступ, переписав .htaccess, хотя я уже все до них сделал
Клиент в панике пишет - "админка не работает, не могу заказы принять" - пришлось по второму кругу все настраивать

Один отличился оригинальностью - нужно перейти по ссылке и тогда IP попадает в белый список, после чего можно спокойно заходить в админки всех сайтов

 

[The Undertaker]

полностью изменить адрес админки, но инструкций не нашел

Для Wordpress есть дополнение Для просмотра ссылки Войди или Зарегистрируйся, опция Hide Backend.
Для Jooml'ы на тему Hide backend что-то Для просмотра ссылки Войди или Зарегистрируйся, но с ней дел не имел, поэтому посоветовать ничего не могу.

 

[8Katalin8]

Недавно повис хостинг, после просмотра логов на всех сайтах, увидел такую интересную картину в логах WordPress сайта

112.78.112.43 - [Thu, 25 Jul 2013 13:15:54 +0400] - /wp-login.php -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
112.78.112.43 - [Thu, 25 Jul 2013 13:16:00 +0400] - /wp-login.php?redirect_to=http%3A%2F%2Fsite.ru%2Fwp-admin%2F&reauth=1 -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
112.78.112.43 - [Thu, 25 Jul 2013 13:16:01 +0400] - /wp-login.php -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
112.78.112.43 - [Thu, 25 Jul 2013 13:16:07 +0400] - /wp-login.php?redirect_to=http%3A%2F%2Fsite.ru%2Fwp-admin%2F&reauth=1 -  - Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)

Ясное дело, что бинг не будет каждые 3 секунды по несколько часов и ежедневно обращаться к админке WordPress. После проверки логов на других сайтах на нескольких разных серверах, увидел подобную картину, но только с joomla.
Естественно брут админки не страшен, когда пароль состоит из 15 различных букв, цифр и символов, но сервер грузит это не слабо.
Порылся в поисках вариантов защиты, а потом пришел к самому простому но верному решению - закрыл директорию с админкой через .passwd

Спойлер: Инструкция по защите админок

1) создать файл с названием ".htpasswd" в корне сайта и при помощи сайтаДля просмотра ссылки Войди или Зарегистрируйся сгенерировать его содержание, указав желаемый логин и пароль.

2) для Joomla в файл ".htaccess" в папке /administrator/ добавить следующие строки:

AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user

для WordPress в файл ".htaccess" в корне сайта добавить следующие строки:

<Files wp_login.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
</Files>

где "полный_путь_до_корня_сайта" - это абсолютный путь от корня файловой системы.
например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd

СПАСИБО

 

[jabbaxatt]

Для Jooml'ы на тему Hide backend что-то Для просмотра ссылки Войди или Зарегистрируйся, но с ней дел не имел, поэтому посоветовать ничего не могу.

У нас тут на нулледе Для просмотра ссылки Войди или Зарегистрируйся. Его и заюзал.

 

[red-storm]

Недавно тоже боролся с агрессивными ботами, в том числе bingbot. Вопрос решил так:
добавляем в файл .htaccess
Order Allow,Deny
Allow from all
SetEnvIfNoCase User-Agent bingbot bad_bot
SetEnvIfNoCase User-Agent bingbot/2.0 bad_bot
SetEnvIfNoCase User-Agent bing* bad_bot
SetEnvIfNoCase User-Agent msnbot bad_bot
SetEnvIfNoCase User-Agent JS-Kit bad_bot
SetEnvIfNoCase User-Agent Slurp bad_bot
SetEnvIfNoCase User-Agent MJ12bot bad_bot
SetEnvIfNoCase User-Agent Sogou Spider bad_bot
SetEnvIfNoCase User-Agent Sogou bad_bot
SetEnvIfNoCase User-Agent PostRank bad_bot
SetEnvIfNoCase User-Agent Python-urllib bad_bot
SetEnvIfNoCase User-Agent UnwindFetchor bad_bot
SetEnvIfNoCase User-Agent Butterfly bad_bot
SetEnvIfNoCase User-Agent MFE_expand bad_bot
SetEnvIfNoCase User-Agent Java bad_bot
SetEnvIfNoCase User-Agent Summify bad_bot
SetEnvIfNoCase User-Agent MetaURI bad_bot
SetEnvIfNoCase User-Agent FlipboardProxy bad_bot
SetEnvIfNoCase User-Agent ScribdReader bad_bot
SetEnvIfNoCase User-Agent RockMelt bad_bot
SetEnvIfNoCase User-Agent InAGist bad_bot
SetEnvIfNoCase User-Agent NING bad_bot
SetEnvIfNoCase User-Agent TweetedTimes bad_bot
SetEnvIfNoCase User-Agent PaperLiBot bad_bot
SetEnvIfNoCase User-Agent Library bad_bot
SetEnvIfNoCase User-Agent Ezooms bad_bot
SetEnvIfNoCase User-Agent strawberryj bad_bot
SetEnvIfNoCase User-Agent Scooper bad_bot
SetEnvIfNoCase User-Agent Ahrefs bad_bot
SetEnvIfNoCase User-Agent Spider bad_bot
SetEnvIfNoCase User-Agent None bad_bot
SetEnvIfNoCase User-Agent EventMachine bad_bot
SetEnvIfNoCase User-Agent aiHitBot bad_bot
SetEnvIfNoCase User-Agent SolomonoBot bad_bot
SetEnvIfNoCase User-Agent SearchBot bad_bot
SetEnvIfNoCase User-Agent Wget bad_bot
SetEnvIfNoCase User-Agent Crawler bad_bot
Deny from env=bad_bot

Нагрузка упала в 20! раз.
Попробуйте, это поможет!

 

[Sergo_Sev]

Недавно тоже боролся с агрессивными ботами, в том числе bingbot.

Да тут в теме именно о бруте админок, а не о ботах, но список для блокировки вредных ботов неплох