VPS and Brute Force

Kiril

Active Member
Здравейте!

От няколко месеца ползвам managed VPS за един WP сайт. Сложил съм му Loginizer, но през ден-два получавам съобщения Failed Login Attempts from IP ...
Преди малко получих 42 такива наведнъж! На Shared хостинг никога не съм получавал.

Трябва ли да ме притесняват тези съобщения? Може ли хостинга да направи нещо за да се спре това?

П.П. Не знам как, но опитите за логин са с реални usernames - такива които са на администратори, които са малко известни!
 
Мислил съм за тази опция, но IP-тата на админите са различни почти всеки път. Също IP-тата, които се опитват да се логнат са различни, вече съм добавил 30-40 към Blacklist-ата на плъгина.

Защо се получава това само на ВПС-а, а на споделен хостинг, не?

Писах на съпорта на хостинга за проблема, но те се опитаха да ме успокоят, че всичко е наред. Да, може, но аз не разбирам и като видя, че се опитват да се логнат с правилното име, което никъде не фугурира, настръхвам! Ако някой админ на сайта си смени паролата с някоя проста?!
 
Тези "админи" какъв достъп имат до сайта? Може да им ограничиш правата и да им смениш паролите превантивно. Също така може да сложиш и един activity log да следиш кои какво прави. Като цяло не трябва да даваш пълни администраторски права на други, освен ако не е наложително.

Имаш ли достъп до access logs? Можеш ли да видиш в заявките на тези IP-та дали има нещо по което да си приличат за да го блокираш него. Най-вероятно няма да можеш защото си на managed VPS и ще трябва да се помолиш на хостинга, но пък ако имаш cPanel и там ги има.

Вида на хостинга няма никакво значение, просто явно сега са те хванали или ботове, или някой друг.
 
Лошото на wp e, че могат да те издумкат от къде ли не, да кажем заради плъгина на Ракеш или пък някоя друга sec. vul. от ядрото на wp...
 
Ето как можеш лесно да елиминираш проблема:
https://blog.delta.bg/wordpress-zashtita-ot-ataki-za-razpoznavane-na-paroli/
прибягваш до точка 1 и 99.99% от опитите ще спрат.

Така само админите ще можете да достъпите wp-login през общ потребител и споделена парола. Примерно потребител alabalanica и парола turskapanica.
 
Brute force обикновено е свързано с много опити да се направи нещо - било то логин или друга операция. Най-добре е да следиш логовете и на базата на някакъв модел да извършваш определено действие, автоматично. В случая следиш логовете на уеб сървъра и ако има например 3 опита блокираш IP адреса на атакуващия във firewall-a за Х време или перманентно.

От години използвам fail2ban за да намаля или спра атаките. Ето два примера https://www.digitalocean.com/commun...otect-wordpress-with-fail2ban-on-ubuntu-14-04 https://bjornjohansen.no/using-fail2ban-with-wordpress.

Разгледай, мисля че ще ти свърши работа. Зависи от опита ти, може и без plugin.

Щом е managed VPS-a хостинга би трябвало да знаят какво да направят.
 
fail2ban е описан и във моя линк. Специалистите го обожават, но начинаещите никак не го харесват.
Що бе, не е кой знае каква философия. 10 мин и 50 евро разходи и начинаещия е готов :D
 
fail2ban е описан и във моя линк. Специалистите го обожават, но начинаещите никак не го харесват.

Извинявай, не си бях пил кафето още ... :)


Що бе, не е кой знае каква философия. 10 мин и 50 евро разходи и начинаещия е готов :D

Ако е така, да вземем да го инсталираме за всеки self hosted WP и да станем милионери...

Човека все пак е с managed VPS.
 
Извинявай, не си бях пил кафето още ... :)




Ако е така, да вземем да го инсталираме за всеки self hosted WP и да станем милионери...

Човека все пак е с managed VPS.

Е като е на managed service що търси решение във форум, а не с тикет на съпорта. ИМа си SLA , ще му фикснат болежката. До сега не съм видял, някой да е станал милионер освен cross-а и xainov.
 
Здравейте!

От няколко месеца ползвам managed VPS за един WP сайт. Сложил съм му Loginizer, но през ден-два получавам съобщения Failed Login Attempts from IP ...
Преди малко получих 42 такива наведнъж! На Shared хостинг никога не съм получавал.

Трябва ли да ме притесняват тези съобщения? Може ли хостинга да направи нещо за да се спре това?

П.П. Не знам как, но опитите за логин са с реални usernames - такива които са на администратори, които са малко известни!

Няма от какво да се очудваш... Реално може да се проследи и различи трафика, стига провайдъра, който използваш, да съдейства напълно.

Пример, в моя ситуация, в офис.. Наложително беше да отделим време, за обстоен преглед на трафика във формат на log. Блокирахме доста IP адреси - ботове.
Честно да ти кажа, не вярвах, че това нещо е възможно, бях чувал по филмите само.. До такава степен се натоварваше мрежата, че връзката спираше 2 минути след рестарт на lan устройството...


Така че, локации на админ платформи за управление, портове на рутери и излишни такива на машини в мрежата - всичко под контрол винаги!
Разреши админ достъпа само към личният ти ip адрес. Може да си пуснеш и remote достъп до машината и пак ще управляваш...
 
Благодаря за съветите!
Послушах @mobilio - сложих парола за достъп до wp-login.php и вече 3-4 дни не съм получавал съобщенията от Loginizer.
:)
 
Благодаря за съветите!
Послушах @mobilio - сложих парола за достъп до wp-login.php и вече 3-4 дни не съм получавал съобщенията от Loginizer.
:)

Няма и да получиш. Само си закапачи и достъпа до XMLRPC (как и защо е описано във онази статия).
 

Горе