Атака на WP сайтове

coolice

Owner

alfina87

Active Member
От: Атака на WP сайтове

You must spread some Reputation around before giving it to coolice again. Login Lockdown веднага го сменям с Limit Login Atemps
 

SoulReaver

Active Member
От: Атака на WP сайтове

Атаката е от няколко дни, поразява най-вече WP сайтове използващи стандартните пътища до админ панела (www.site.com/wp-admin и www.site.com/wp-login) и тестват за стандартни админски потребителски имена и пароли (admin, root и т.н). Лекарството е да не използвате такива логини и да инсталирате някой плъгин за сигурност, например Better WP Security.

При мен от онзи ден има около 150 опита за влизане (на 5-тия неуспешен се блокира IP-то), но до сега никой не е успял :) В блога на Sucuri.net има и списък със засечените IP-та, които се изплозват, ако на някой му е интересно може да ги види тук.
 

lqllqlq

Well-Known Member
От: Атака на WP сайтове

Better wp security при мен върши чудесна работа до момента. Сложих го точно заради тези атаки. Има засечени не повече от 15 опита, което си е добре. Хареса ми, че сменя дефоултния логин и крие таговете, че сайта е уордпрес
 

lqllqlq

Well-Known Member
От: Атака на WP сайтове

Да, само да кажа, че днес е ден номер две...от тези атаки. Дано мине безпроблемно. Този плъгин май ще се окаже добро решение. Само и хостингите да успеят също да се справят. ;)

Миля, че ако повече собственици на WP сайтове ползваха такава защита, то и хостингите щяха да се справят. Все пак му слагаш 3 опита и след това бан за 30 мин. Така ти вади и ИП-то, което можеш да добавиш. Както каза по-горе SoulRiver има опция да си вземеш списъка и превантивно да ги заключиш.
 

alfina87

Active Member
Хостингът вчера реагирахa бързо, не очаквах, все пак не са някакви големи :) Четох, че Social media plugin също създавал проблеми. Оказа се при мен, че хостингът е заключил всички уп-админ на сайтовете и всичко се реши като забраних всички ip-та и позволих логин от моето айпи. Интересно е, но на 1 място срещнах, че дори ида си смени човек паролата, ако са успели да пробият, могат да го сторят и след като се смени пас-а. В такъв случай е добре да се проверят логин опитите от различни айпита предполагам?
 
Последно редактирано:

lqllqlq

Well-Known Member
От: Атака на WP сайтове

Е как ще пробият ако имаш адекватна парола и юзър различен от админ? За добавката, която коментираме те кара да смениш wp-login -> login, трие юзър 1, иска смяна на дефоултния юзър админ, сменя префикса на база данни, крие таговете, че сайта е WP за да го подминат тия ботове и още доста неща. За тази атака мисля, че е повече от добре за да те предпази.
 

Linetta

Active Member
От: Атака на WP сайтове

От моя хостинг ми изпратиха мейл с уведомление за протичащата атака и малък списък с действията, които е добре да се имам предвид и да се прилагат при ползване на CMS. Според тях, атаката засяга всички CMS, а не само УП. Струват ми се доста полезни и за това ги пускам и тук:

1. Сменяйте всички пароли на всеки 6 месеца.
2. Ползвайте "сложни" пароли от типа - g7%tGh(Rk)=9gx;
3. Ползвайте име различно от класическото админ;
4. Ползвайте добри антивирусни програми/продукти на компютрите си;
5. Ъпдейтвайте CMS - ите на последните версии;
6. Ъпдейтвайте до последна версия всички плъгини/добавки/темплейти/ и ползвайте само такива, закупени/свалени от сигурни източници;
7. Не правете промени/модификации по кода, ако не сте добре запознати с материята;
8. Настройте разрешителните на конфигурационните файлове на 600 (configuration.php, wp-config и т.н.)
9. Задайте имена с "фантазия" на перфиксите на таблиците в датабейса - например: "xr3_" на мястото на класическите "jos_" за joomla или "wp_"за wordpress.

:|
 

TheCrazyBastard

Well-Known Member
От: Атака на WP сайтове

Не мога да разбера хакерчетата ли станаха по-изобретателни и са измислили скрипт да заобиколят блокиращия плъгин с 3-те опита или някой се ебава с мен и лично желае да ме подразни..

Тестват 2 опита и се спират за няколко часа, след това нови два.. На някои от IP-тата, които ползват има снимка (IIS7) с линк към go(.)microsoft(.)com/тин-ти-ри-мин-ти-ри.. или инсталиран видео сървър, или друго, или не се отваря.. Явно е мрежа от гъсти п*д'р*си и използват разни навързани частни пробити мрежи... ама, BigBrother's watching you & We do not forgive..

kllll.jpg
 

Sky

Well-Known Member
От: Атака на WP сайтове

А как разбирате , че някой налучква паролата?
 

TheCrazyBastard

Well-Known Member
От: Атака на WP сайтове

Праща 1 известие по емейл, че някой е достъпил логин формата..
Праща 2 известие, че се опитва да се логне и чрез кое име..
Праща 3 известие, когато е баннат..
Решението е с достъп само до собствено IP, но както писах в една друга тема преди малко, бота на гугъл предупреждава, че не може да достъпи страницата, тъй като съм я линкнал под някаква форма и място по сайта.,. А и ако даден потребител реши да даде "изход" на акаунта си ще бъде блокиран, тъй като ползвам едно хубаво омешване на плъгини .. дуплекс вика, едно ползва за вход, друго за изход.. :D
 

Sky

Well-Known Member
От: Атака на WP сайтове

А ако сменя името на файла? Няма ли да е най-лесно?
 

TheCrazyBastard

Well-Known Member
От: Атака на WP сайтове

По-добре недей пробва.. Да не се чудиш после ти как ще се логнеш да добавиш публикация :lol: Най-лесно е Allow за теб, Deny за всички останали..
При някой друг има ли ги тия откъслечни опити за налучкване през часове за кратко.. И що за хост е това със снимката на IIS7?
 

r.stefanov

Well-Known Member
От: Атака на WP сайтове

А как разбирате , че някой налучква паролата?

Код:
Jul  1 17:45:09 ip-* wordpress(rstefanov.org)[15456]: Authentication failure for {domain} from 41.46.196.40
Jul  1 17:53:23 ip-* wordpress(rstefanov.org)[15431]: Authentication failure for admin from 41.46.196.40
Jul  1 18:03:10 ip-* wordpress(rstefanov.org)[15455]: Authentication failure for radi from 79.129.33.46
Jul  1 19:45:59 ip-* wordpress(rstefanov.org)[15455]: Authentication failure for admin from 41.204.93.22
Jul  1 21:03:29 ip-* wordpress(rstefanov.org)[15443]: Authentication failure for admin from 110.77.214.207
Jul  2 08:35:05 ip-* wordpress(rstefanov.org)[15422]: Authentication failure for radi from 212.57.245.78


Всички тези, които добавките ви карат да направите са чисто и просто security through obscurity (сигурност чрез неизвестност или там както се превежда). Ще спре част от автоматичните атаки, но не и ако човек седне да си напише домашното и ги конфигурира добре. wpscan например може да изкара и prefix, и потребители и каквото се сетите, колкото и да ги сменяте. Почти няма как да се скрият освен ако не се спрат pretty permalinks и още няколко други функции :)

За мен решението за WP беше fail2ban с адекватна защитна стена. Всичко с повече от 2 опита за логин или някакво друго правило отива в перм или временен банлист.
 

s1yf0x

Well-Known Member
От: Атака на WP сайтове

Общо взето това ти показва, че повечето от хостовете, които са в тези ботнетс са с IIS7 . Явно и CMS-ите за видеострийминг са хаквани тенденциозно. Сигурен съм, че ако ги проследиш, всички ще ползват един и същи скрипт, че може и една и съща версия.

Общо взето търсят масовка, не е нищо интелигентно. С mod_security може да се проследят и какви пароли тестват, ако е настроено да логва http request body на POST заявките. Ако се правеше умишлено и от човек, щяха да се забелязват поне заявки съдържащи " ?author= " в тях, за да се открие username на административния потребител. и после да се прави изброяване на паролите.
 

Горе