Băieții iar nu se satură. Nu știu dacă sunt coreeni sau am niște prieteni pe aici prin România, dar cert este că aseară a fost un pic de bruteforce mai agresiv către blog.
Habar n-am ce au căutat, de ce s-or fi gândit ei că este vreo comoară pe wp-login.
Mulțumesc dacă ești român. Mă ajuți să fiu băgat în seamă de firma de hosting.
Cei de la Chroot au colaborat foarte bine până acum și m-au ajutat să scap de „intruși”.
Cu ocazia asta mi-am pus în Jetpack doar clasa mea de IP-uri.
Api amu io ci sî zîc?!, cî di bunî samî ţ’or bîntuit cariva saitu, cîţva cari’o fi vrut sî furi şieva secreti, sau cini ştii ci ş’or fi’nchipuit c’or sî găsascî pi saitu tău. Or asta io cried că esste şî o chestii fainî, cî ţi-or scociorît blogu, şî asta însamnî cî ai agiuns la nivelu dinteres undi apili ‘s mai învolburati, deci îs aşa, cu bulboane… Taşi cî tot îi bini dac’no găsît ninica… Şi sî faşi cieva sietări şî data viitoari dacî or sî mai aibî chief di gîlşeavî, api sî vadî cî nu so pus cu cini trabuie, şi sî-şi rupî nasurili…
Ălei… ce accent. Cu greu am înțeles ce-ai vrut să zici 🙂
Asta era şi ideea, pretenii moldovieni ştiu di ce!!
Ce translate ai folosit ?
Se face bruteforce masiv zilnic pe zeci sau sute de site-uri de WordPress fiindca aparent exista deja si botneturi care se ocupa cu asa ceva si fac un brute de pe zeci de mii de IP-uri. Pentru providerul de hosting e nasol cand prinde 2-3 site-uri pe acelasi server care-si iau brute in acelasi timp.
Eu am scapat usor de ei editandu-mi httpd.conf si limitand accesul pe wp-login.php si xmlrpc.php doar de pe IP-ul meu ca alta solutie mai eficienta n-am vazut pana acum.
Eu mi-am trecut doar IP-urile mele și am încercat și pe cele de pe mobil. Oricum mi-au dat un raport de IP-uri și al meu era singurul românesc. O idee e să blochez zona Asiei…
Si la mine sunt zilnic atacuri din diverse locatii … pana acum Aksimet si’a facut treaba cu deosebit succes completat de iThemes Security care mi’a fost recomandat de Stefan, caruia ii multumesc si pe aceasta cale.
Salutăm noul avatar. 🙂
Multumesc, multumesc! 😉
Oricum te incetineste, daca faci filtrarea locaL, indiferent de script. Serverul raspunde in parte fiecarei interogari cu noaccess, dupa caz. O filtrare eficienta e cu un firewall hardware, pe clase de IP-uri, zone geografice, dupa caz, asta daca hosting-ul are, restul….o parola cat mai „ciudata” 😉 actualizari la zi.
Din ce am primit pe mail, era un filtru de pe ceva hardware. Băieții sunt pregătiți.
Chiar daca au firewall hardware n-or sa-ti dea acces in el. Mai ales pe shared hosting sau pe VPS. E posibil ca unii provideri de dedicate sa-ti dea asa ceva doar ca de obicei costa chiar si mai scump decat serverul dedicat in sine.
Solutia ca sa reduci load-ul local, cel putin cea pe care am gasit-o eu mai eficienta a fost sa blochez folosind firewall-ul de pe server (CSF) retele gen PoneyTelecom, LeaseWeb sau Ecatel de unde par sa vina cele mai multe atacuri si de spam si de brute. Astfel queryurile alea nu mai ajung la Apache, iar ce ajunge cu adevarat la Apache are definit niste custom error documents ce duc orice eroare 401/403 la un fisier HTML gol si nu redirectioneaza spre index.php cum face WordPress-ul default ca sa-mi faca trigger pe wp-cron si sa-mi consume din resurse ca o vizita normala. La mine solutia asta a fost destul de eficienta si de mai bine de 1 an n-am mai avut load pe server (chiar si cu 250 de WP-uri pe el) din cauza la brute sau spam.
Nici nu le-am cerut acces. Doar mi-au dat un log mic cu IP-urile problematice. În fine, băieții au fost super ok, sper că s-a rezolvat.
Intentionam sa-i raspund lui Vasile apropo de accesul in firewall-ul hardware pentru ca nu-l da oricine. Intr-adevar suportul tehnic da mereu loguri cand vine vorba de asta fiindca altfel nici n-au cum sa dovedeasca faptul c-a fost sau nu un atac. Am mai vazut niste sisteme de protectie impotriva bruteforce-ului bazate pe mod_security cu regulile de OWASP si mod_evasive, dar intr-o gramada de cazuri blocheaza acces legitim si multi se feresc de ele. Ce se mai practica e un sistem custom cu reCaptcha ce se invoca la fiecare query pe wp-login.php cam cum are Cloudflare aia cu „checking your browser”.
Ehe.. eu n-am mai avut parte de așa ceva de foarte multă vreme, până și pe servere nu a mai încercat nimeni, fie ca eu mi-ai și securizat serverele…