Email or username:

Password:

Forgot your password?
Alexey's posts Post Back to profile
Alexey Skobkin

В копилочку горькой и неприятной реальности.

Начиная примерно с конца февраля на моём сайте без перерыва пытаются подобрать пароль от админки.

Зная опыт знакомых, ресурсы которых брутфорсили успешно могу предположить, что целью является дефейс с размещением лозунгов, за которые мне будет светить административка или уголовка.

Что можно сделать в этой ситуации?

Ну как минимум пару вещей:

- Лишний раз подумать о способах повышения безопасности своих ресурсов.
- Дураки были и будут всегда, а когда чувствуют Великую Цель и развязанные руки - творят дичь в ещё больших масштабах. Если кому-то сорвало крышу - это не повод делать так же, а также обобщать, дегуманизировать всех к ним причастных и устраивать поголовную ненависть.

🤷‍♂️

#server #security #log #Russia #Ukraine #site
1 Jul 2022 at 16:48 | Open on lor.sh
35 comments
Constantine :flag_su:

@skobkin
WP Hide Security Enhancer Pro (последний, нуленый, без всяких лишних вставок 😀 и т.д.)
mirrored.to/files/1A30RQ2C/wph

1 Jul 2022 at 16:54 | Open on rusoc.xyz
Alexey Skobkin
Constantine :flag_su:

@skobkin Отсекается переименованием папок, а так будут долбить /wp-admin/ до посинения, плюс в .htaccess немного ручками поработать с Denny. В чем преимущество плагина WP Hide... - размер и фактически все функции, которые можно долбить ручками долго и упорно, собраны вместе... (можно, конечно, и купить, но я, например, не имею еще такого сайта по содержанию, чтобы надо было "туго" защищать)...

1 Jul 2022 at 17:02 | Open on rusoc.xyz
[DATA EXPUNGED]
L29Ah

@skobkin tfw в 2022 люди используют для аутентификации на удалённом сервере ПАРОЛЬ

1 Jul 2022 at 17:02 | Open on qoto.org
Alexey Skobkin

@L29Ah
Ты уверен, что понял, о чём говоришь?

1 Jul 2022 at 17:07 | Open on lor.sh
L29Ah
Alexey Skobkin

@L29Ah
Судя по всему, ты ошибся.

1 Jul 2022 at 17:08 | Open on lor.sh
L29Ah

@skobkin Судя по всему, у тебя пробелы в образовании.

1 Jul 2022 at 17:08 | Open on qoto.org
Александр Пушков

L29Ah, а что ты предлагаешь использовать для аутентификации в эм-м-м-м вордпрессе?

1 Jul 2022 at 17:59
hardworm ☭

@skobkin у меня никогда не прекращали этим заниматься года эдак с 2012. Но ни разу не пробились. А потом я сделал ход конем и просрал vps

1 Jul 2022 at 17:34 | Open on lor.sh
Alexey Skobkin

@hardworm
Ну, относительно частые попытки сходить в RPC или влезть в админку у меня тоже были.
Но тут это происходит в больших количествах - каждую минуту куча запросов без перерыва начиная с весны.

То есть раньше это были просто рандомные ботнеты, а сейчас это уже в основном вполне специальный ботнет.

1 Jul 2022 at 17:45 | Open on lor.sh
hardworm ☭

@skobkin fail2ban + iptables\cloudflare спасут отца российской демократии. А если разбирать и систематизировать ТОП запросов то можно почти в 0 свести.

1 Jul 2022 at 17:49 | Open on lor.sh
Alexey Skobkin

@hardworm
В целом в том или ином смысле всё это есть.
CF, правда, не в режиме осады, поэтому почти всё пропускает.
Ну и уведомления о блокировке на почте у меня ж не из воздуха берутся - это тоже один из инструментов обрезания тянущихся тентаклей.

1 Jul 2022 at 17:55 | Open on lor.sh
hardworm ☭

@skobkin я просто анализировал логи по атакам и смотрел who is who. Часто выяснялось что ботнет, это дешевые vpn, зараженные мобильные терминалы на украине или дырявые микротики в Чили. И по итогу отравлял в блок целую автономную систему (хотя потом я пришел к js_chalange на автономную систему в cloudflare)

1 Jul 2022 at 17:59 | Open on lor.sh
hardworm ☭

@skobkin еще против целевой атаки показала себя не плохо практика fail2ban с нулевой терпимостью. Ограничение по ip, 1 попытка и js_chalange или капча на большой срок (несколько часов или суток) в cloudflare. Захлебывалась даже целенаправленная купленная атака жулика, терроризировавшего сервис.

Ботнет это на 90% тупые устройства умеющие что-то типа curl\ping. ipv4 очень даже конечный.

Короче, воевать с ботнетами это весело и захватывающе. Только бизнес ничего не хочет об этом слышать, пока не станет слишком поздно.

@skobkin еще против целевой атаки показала себя не плохо практика fail2ban с нулевой терпимостью. Ограничение по ip, 1 попытка и js_chalange или капча на большой срок (несколько часов или суток) в cloudflare. Захлебывалась даже целенаправленная купленная атака жулика, терроризировавшего сервис.

Ботнет это на 90% тупые устройства умеющие что-то типа curl\ping. ipv4 очень даже конечный.

1 Jul 2022 at 18:14 | Open on lor.sh
Шуро
@skobkin @hardworm Cloudflare прямо идеальный вариант :))

А вообще печально это всё. Мне тут недавно один вполне приличный благотворительный фонд наспамил на работе. Причём качественно так, с использованием кое-каких неприятных приемчиков, да ещё и по базе адресов, которую где-то купил. Поэтому попало хорошо.

И, вроде бы, цель была благая, но испытываю к ним теперь исключительно неприятие.
@skobkin @hardworm Cloudflare прямо идеальный вариант :))

А вообще печально это всё. Мне тут недавно один вполне приличный благотворительный фонд наспамил на работе. Причём качественно так, с использованием кое-каких неприятных приемчиков, да ещё и по базе адресов, которую где-то купил. Поэтому попало хорошо.
1 Jul 2022 at 17:55 | Open on friends.deko.cloud
Alexey Skobkin

Сука!

Брутфорсить бложик мы не бросим.
1 Jul 2022 at 18:15 | Open on lor.sh
[DATA EXPUNGED]
Alexey Skobkin

@kitanit
В общем-то нет необходимости.
Пусть долбятся, мне не жалко.

1 Jul 2022 at 19:04 | Open on lor.sh
Alexey Skobkin

@kitanit
Хотя ладно, добавил им ещё Page Rule и выставил там Under Attack Mode.
Пусть ещё и капчу проходят ради того чтобы всё равно обломаться с брутфорсом.

1 Jul 2022 at 19:21 | Open on lor.sh
[DATA EXPUNGED]
Alexey Skobkin

@kitanit
Ну это будет ещё и обычным людям немного проблем добавлять.
Они всё равно не смогут брутфорснуть админку, так как там вход через хардварный ключик 🤷‍♂️

1 Jul 2022 at 19:25 | Open on lor.sh
[DATA EXPUNGED]
Iron Bug
@skobkin откуда сразу мысли о каком-то дефейсе? эти боты, которые ломятся в известные популярные админки, были всегда, практически с начала интернета. поставь какой-нибудь фильтр, чтобы он блокировал адреса по таким запросам. или просто сделай белый список для своего адреса, если он у тебя белый.
1 Jul 2022 at 21:59 | Open on friendica.ironbug.org
Iron Bug
@skobkin это можно вообще скриптами наговнякать по логам веб-сервера, на самом деле.
1 Jul 2022 at 22:01 | Open on friendica.ironbug.org
Alexey Skobkin

@iron_bug
Оттуда КОГДА появились эти боты. И это не боты, которые ищут уязвимости. Это именно брутфорс паролей к админке.

Спасибо за очевидные советы, но проблема не в том, что я не знаю что делать.

1 Jul 2022 at 23:45 | Open on lor.sh
Iron Bug
@skobkin так это боты и есть. самые обыкновенные.
прочитай про защиту веб-серверов от атак. и тебе там выше уже написали про софт. я его не могу рекомендовать, ибо я противник пистона. на других скриптах это будет работать намного быстрее и будет жрать значительно меньше ресурсов. но на худой конец и это сгодится.
как ты держишь сервер, если ты не знаешь ничего про банальные блоки по айпишникам и сканирование логов на предмет ботов? это же базовые вещи.
@skobkin так это боты и есть. самые обыкновенные.
прочитай про защиту веб-серверов от атак. и тебе там выше уже написали про софт. я его не могу рекомендовать, ибо я противник пистона. на других скриптах это будет работать намного быстрее и будет жрать значительно меньше ресурсов. но на худой конец и это сгодится.
2 Jul 2022 at 0:00 | Open on friendica.ironbug.org
Alexey Skobkin

@iron_bug
Ну я как бы не спрашивал, что это и что нужно делать.
К посту даже был приложен скриншот с результатами автоматических блокировок.

Но спасибо за полезную (нет) информацию.

2 Jul 2022 at 0:04 | Open on lor.sh
fgntfg :verified:

@skobkin можно спрятать админку, а на месте обычной сделать фейковую, которая будет на всё отвечать ошибкой авторизации

2 Jul 2022 at 15:00 | Open on lor.sh
Alexey Skobkin

@fgntfg
Можно.
Но родная им будет вечно отвечать ошибкой аутентификации точно так же, заодно ещё и баня их.

Единственный профит - это потенциально ещё и прятанье уязвимостей. Но у WP уязвимости гораздо чаще возникают в других местах включая плагины. Поэтому не то чтобы сильно много профита будет.

Хотя если по-хардкору делать безопасность - то да.

2 Jul 2022 at 15:03 | Open on lor.sh
fgntfg :verified:

@skobkin можно сразу банить всех, кто зашел на фейковую.

А ещё можно закрыть её от всех приключений кроме localhost, чтоб только подключившись к серверу открывалась.

2 Jul 2022 at 15:23 | Open on lor.sh
Gamliel Fishkin  🮱

@skobkin Если используете Wordpress (или другую CMS), перестаньте использовать. А если не используете, не обращайте внимания.

Три вида владельцев сайтов:
1. умеют делать сайты (в частности знают HTML, CSS и какой-нибудь язык программирования) и делают сайт сами;
2. нанимают умеющего;
3. не умеют делать сайты, но нанимать умеющего не хотят.

Из--за третьих боты пытаются найти уязвимости и на нормальных сайтах.
$ gunzip -c access.log-202206.gz | grep -c "\" 404 "
1138
Большинство — те самые боты.

@skobkin Если используете Wordpress (или другую CMS), перестаньте использовать. А если не используете, не обращайте внимания.

Три вида владельцев сайтов:
1. умеют делать сайты (в частности знают HTML, CSS и какой-нибудь язык программирования) и делают сайт сами;
2. нанимают умеющего;
3. не умеют делать сайты, но нанимать умеющего не хотят.

3 Jul 2022 at 0:48 | Open on linuxrocks.online
Go Up