VPS and Brute Force

K

Kiril

Active Member
Здравейте!

От няколко месеца ползвам managed VPS за един WP сайт. Сложил съм му Loginizer, но през ден-два получавам съобщения Failed Login Attempts from IP ...
Преди малко получих 42 такива наведнъж! На Shared хостинг никога не съм получавал.

Трябва ли да ме притесняват тези съобщения? Може ли хостинга да направи нещо за да се спре това?

П.П. Не знам как, но опитите за логин са с реални usernames - такива които са на администратори, които са малко известни!
 
Мислил съм за тази опция, но IP-тата на админите са различни почти всеки път. Също IP-тата, които се опитват да се логнат са различни, вече съм добавил 30-40 към Blacklist-ата на плъгина.

Защо се получава това само на ВПС-а, а на споделен хостинг, не?

Писах на съпорта на хостинга за проблема, но те се опитаха да ме успокоят, че всичко е наред. Да, може, но аз не разбирам и като видя, че се опитват да се логнат с правилното име, което никъде не фугурира, настръхвам! Ако някой админ на сайта си смени паролата с някоя проста?!
 
Тези "админи" какъв достъп имат до сайта? Може да им ограничиш правата и да им смениш паролите превантивно. Също така може да сложиш и един activity log да следиш кои какво прави. Като цяло не трябва да даваш пълни администраторски права на други, освен ако не е наложително.

Имаш ли достъп до access logs? Можеш ли да видиш в заявките на тези IP-та дали има нещо по което да си приличат за да го блокираш него. Най-вероятно няма да можеш защото си на managed VPS и ще трябва да се помолиш на хостинга, но пък ако имаш cPanel и там ги има.

Вида на хостинга няма никакво значение, просто явно сега са те хванали или ботове, или някой друг.
 
Ето как можеш лесно да елиминираш проблема:
https://blog.delta.bg/wordpress-zashtita-ot-ataki-za-razpoznavane-na-paroli/
прибягваш до точка 1 и 99.99% от опитите ще спрат.

Така само админите ще можете да достъпите wp-login през общ потребител и споделена парола. Примерно потребител alabalanica и парола turskapanica.
 
Brute force обикновено е свързано с много опити да се направи нещо - било то логин или друга операция. Най-добре е да следиш логовете и на базата на някакъв модел да извършваш определено действие, автоматично. В случая следиш логовете на уеб сървъра и ако има например 3 опита блокираш IP адреса на атакуващия във firewall-a за Х време или перманентно.

От години използвам fail2ban за да намаля или спра атаките. Ето два примера https://www.digitalocean.com/commun...otect-wordpress-with-fail2ban-on-ubuntu-14-04 https://bjornjohansen.no/using-fail2ban-with-wordpress.

Разгледай, мисля че ще ти свърши работа. Зависи от опита ти, може и без plugin.

Щом е managed VPS-a хостинга би трябвало да знаят какво да направят.
 
mobilio каза:
fail2ban е описан и във моя линк. Специалистите го обожават, но начинаещите никак не го харесват.
Увеличете...
Що бе, не е кой знае каква философия. 10 мин и 50 евро разходи и начинаещия е готов :D
 
mobilio каза:
fail2ban е описан и във моя линк. Специалистите го обожават, но начинаещите никак не го харесват.
Увеличете...

Извинявай, не си бях пил кафето още ... :)


s1yf0x каза:
Що бе, не е кой знае каква философия. 10 мин и 50 евро разходи и начинаещия е готов :D
Увеличете...

Ако е така, да вземем да го инсталираме за всеки self hosted WP и да станем милионери...

Човека все пак е с managed VPS.
 
И.ИваHоВ каза:
Извинявай, не си бях пил кафето още ... :)




Ако е така, да вземем да го инсталираме за всеки self hosted WP и да станем милионери...

Човека все пак е с managed VPS.
Увеличете...

Е като е на managed service що търси решение във форум, а не с тикет на съпорта. ИМа си SLA , ще му фикснат болежката. До сега не съм видял, някой да е станал милионер освен cross-а и xainov.
 
Kiril каза:
Здравейте!

От няколко месеца ползвам managed VPS за един WP сайт. Сложил съм му Loginizer, но през ден-два получавам съобщения Failed Login Attempts from IP ...
Преди малко получих 42 такива наведнъж! На Shared хостинг никога не съм получавал.

Трябва ли да ме притесняват тези съобщения? Може ли хостинга да направи нещо за да се спре това?

П.П. Не знам как, но опитите за логин са с реални usernames - такива които са на администратори, които са малко известни!
Увеличете...

Няма от какво да се очудваш... Реално може да се проследи и различи трафика, стига провайдъра, който използваш, да съдейства напълно.

Пример, в моя ситуация, в офис.. Наложително беше да отделим време, за обстоен преглед на трафика във формат на log. Блокирахме доста IP адреси - ботове.
Честно да ти кажа, не вярвах, че това нещо е възможно, бях чувал по филмите само.. До такава степен се натоварваше мрежата, че връзката спираше 2 минути след рестарт на lan устройството...


Така че, локации на админ платформи за управление, портове на рутери и излишни такива на машини в мрежата - всичко под контрол винаги!
Разреши админ достъпа само към личният ти ip адрес. Може да си пуснеш и remote достъп до машината и пак ще управляваш...
 
Благодаря за съветите!
Послушах @mobilio - сложих парола за достъп до wp-login.php и вече 3-4 дни не съм получавал съобщенията от Loginizer.
:)
 
Kiril каза:
Благодаря за съветите!
Послушах @mobilio - сложих парола за достъп до wp-login.php и вече 3-4 дни не съм получавал съобщенията от Loginizer.
:)
Увеличете...

Няма и да получиш. Само си закапачи и достъпа до XMLRPC (как и защо е описано във онази статия).
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе