Masivní útok na web

7. 3. 2016 07:36:28

dotaz na odborníky

od rána mám za 2 hodiny víc než 600 bloklých pokusů o přístup do jednoho z webů. Vždycky zkouší přes přístup admin, který ale nikde nemám. Wordfence je po 2 pokusu blokne.

mažu jednu hlášku za druhou, než jsem to napsal, mám další 10.

Co dělat? nechat pracovat Wordfence, zavřít na chvíli web..poraďte.

A user with IP address 117.220.254.255 has been locked out from the signing in or using the password recovery form for the following reason: Exceeded the maximum number of login failures which is: 2. The last username they tried to sign in with was: 'test'

User IP: 117.220.254.255

User hostname: 117.220.254.255

User location: Ahmednagar, India

7. 3. 2016 07:36:28

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180588

Martin Prokopič

(2 hodnocení)

7. 3. 2016 07:57:47

Zjistěte, z jakého rozsahu jsou ty IP jsou a pak celý rozsah zablokuj v .htaccess.

7. 3. 2016 07:57:47

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180587

Radek

(46 hodnocení)

7. 3. 2016 08:01:48

celý svět, 800 různých IP, asi rychle koupím placenou variantu a zablokuji přístup všem mimo čr a sk

ale asi je to přestalo bavit, posledních 10 minut mám je jednu blokaci

7. 3. 2016 08:01:48

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180586

TomasX

(4 hodnocení)

7. 3. 2016 08:10:15

změň adresu wp-adminu, to ti vyloučí tyhle hlášky. Tohle je ideální řešit přes firewall a požadavky zpomalovat, neodpovídat a dělat různé problémy. Nechat si posílat tychle hlášky také není dobrý nápad, spíš si posílej úspěšné přihlášení, tohle tě akorát otravuje a nemůžeš s tím nic dělat.

Zablokovat přístup podle geolokace je hodně nepřesná sranda, ne všechny IP adresy mají správně přidělenou lokaci a totální s tím zabiješ google...

7. 3. 2016 08:10:15

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180585

Radek

(46 hodnocení)

7. 3. 2016 08:17:27

"Zablokovat..."tomu rozumím, proto se bráním zavést

"Změň..." nevím o čem je řeč-:)

Od zavedení W na všechny weby jsem většinu IP blokoval ručně, protože to bylo tak 5x za týden u všech webů, dnes mě ale překvapil ten masivní nárůst na jeden z nich, který není nijak moc propagován, jedná se o web sociálních služeb, tedy úzce zaměřený.

Posledních 22 minut už nic.

Napsal TomášX;1273967
změň adresu wp-adminu, to ti vyloučí tyhle hlášky. Tohle je ideální řešit přes firewall a požadavky zpomalovat, neodpovídat a dělat různé problémy. Nechat si posílat tychle hlášky také není dobrý nápad, spíš si posílej úspěšné přihlášení, tohle tě akorát otravuje a nemůžeš s tím nic dělat.
Zablokovat přístup podle geolokace je hodně nepřesná sranda, ne všechny IP adresy mají správně přidělenou lokaci a totální s tím zabiješ google...

7. 3. 2016 08:17:27

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180584

node

(5 hodnocení)

7. 3. 2016 08:18:50

A co tak nahodit cloudflare?

7. 3. 2016 08:18:50

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180583

Jiří

(7 hodnocení)

7. 3. 2016 08:19:47

Pokud se snaží dostat do adminky, tak bych wp-admin povolil jen na ip adresy administrátorů a zbytek vyblokoval.

7. 3. 2016 08:19:47

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180582

Radek

(46 hodnocení)

7. 3. 2016 08:22:07

cloudflare - s tím nemám zkušenost, díval jsem se ted na informace na netu, nevím, jestli by se nemlelo s ostatními pluginy...

jaké máte zkušenosti?

7. 3. 2016 08:22:07

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180581

Jana Jiravová

(9 hodnocení)

7. 3. 2016 08:26:54

no místo nazev-domeny.cz/wp-admin by mohlo být třeba nazev-domeny.cz/kocourkov

Jinak bych to řešil tak, jak píše Depotys

7. 3. 2016 08:26:54

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180580

Radek

(46 hodnocení)

7. 3. 2016 08:31:13

Napsal Depotys;1273972
Pokud se snaží dostat do adminky, tak bych wp-admin povolil jen na ip adresy administrátorů a zbytek vyblokoval.

toto mě vyřeší přístup pro adminy, ale co weby, kde mám třeba 3 000 uživatelů?

7. 3. 2016 08:31:13

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180579

Jiří

(7 hodnocení)

7. 3. 2016 08:34:14

Pokud je potřeba i uživatelského rozhraní, tak řešit pomocí CDN - např. zminovaný cloudflare. Nebo následně vyřešit přihlašování externím řešením. Tedy nějaké vlastní přihlašování pro veřejnost a adminy skrze /wp-admin s whitelistem který jsem popisoval v SZ.

Napsal Radekovic;1273976
toto mě vyřeší přístup pro adminy, ale co weby, kde mám třeba 3 000 uživatelů?

7. 3. 2016 08:34:14

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180578

Radek

(46 hodnocení)

7. 3. 2016 08:35:32

řeší něco tento plugin?

7. 3. 2016 08:35:32

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180577

i-PRESS

(2 hodnocení)

7. 3. 2016 10:50:06

Já to řeším tak, že se snažím držet nestandardní URL na administrace a nestanardní porty služeb. Dočasně největší otravy blokuji dle IP, nebo rozsahu. Na 2 projektech mám také nasazeno automatické reportování na abuse kontakt držitele IP adresy.

Těm, z jejichž IP odchází takové útoky bez jejich vědomí to může pomoci v zablokování takového provozu, ty ostatní to alespoň otráví, protože abuse kontakt sledovat musejí.

Jediný problém je, že whois informace mají vždy jiný formát, takže je potřeba si to vyparsovat. V zásadě to ale také není nic složitého, stačí jednoduchý switch na RIPE/LACNIC/APNIC/AFRINIC/ARIN. U Ripe pak lze třeba získat abuse kontakt i v takto pěkném JSON objektu.

7. 3. 2016 10:50:06

https://webtrh.cz/diskuse/masivni-utok-na-web#reply1180576

Pro odpověď se přihlašte.

Přihlásit