Боты, подбор пароля, .htaccess

Решено

(@ildar777)

Добрый день всем. Еще недели 4-5 назад была проблема: подборщики паролей. Проблему решил прописав .htaccess это:

<Files "wp-login.php">
Order Deny,Allow
Deny from all
Allow from 178.205.99.162
Allow from 159.253.22.93
Allow from 213.108.170.152
</Files>
RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]

RewriteEngine on
# Options +FollowSymlinks # – раскомментировать, если при установке этого .htaccess появляется ошибка 500, Internal Server Error
RewriteCond %{HTTP_REFERER} kenyettaobryan\.hol\.es [NC,OR]
RewriteCond %{HTTP_REFERER} monniebodin\.esy\.es [NC,OR]
RewriteCond %{HTTP_REFERER} raisapiano\.esy\.es [NC,OR]
RewriteCond %{HTTP_REFERER} karimaheatwole\.esy\.es [NC,OR]
RewriteCond %{HTTP_REFERER} lauricebeattie\.16mb\.com [NC,OR]
RewriteCond %{HTTP_REFERER} kumtoler\.esy\.es [NC,OR]
RewriteCond %{HTTP_REFERER} diegorocamora\.esy\.es [NC,OR]
RewriteCond %{HTTP_REFERER} caroleeulm\.16mb\.com [NC,OR]
RewriteCond %{HTTP_REFERER} cheryllmcfate\.16mb\.com [NC,OR]
RewriteCond %{HTTP_REFERER} newslink\.newsru\.com [NC,OR]
RewriteCond %{HTTP_REFERER} clarisasmail\.890m\.com [NC,OR]
RewriteCond %{HTTP_REFERER} obduliaslavens\.16mb\.com [NC,OR]
RewriteCond %{HTTP_REFERER} santanaproudfoot\.16mb\.com
RewriteRule .* – [F]

Но сегодня вижу что на 1 сайте была успешная попытка входа, а на др сайте ежесекундный подбор пароля идет
Показываю все что есть, может где то что то не то

Тема изменена 9 лет, 2 месяца назад пользователем ildar777.

Просмотр 14 ответов — с 1 по 14 (всего 14)

Модератор Юрій
(@yube)

9 лет, 2 месяца назад

Но сегодня вижу что на 1 сайте была успешная попытка входа

И нам покажите.

Автор ildar777
(@ildar777)

9 лет, 2 месяца назад

http://s020.radikal.ru/i701/1704/62/f8cebb9955ce.jpg

http://s009.radikal.ru/i307/1704/05/74cf7a803b23.jpg

Обращаю ваше внимание что представленные скрины 2 разных сайтов
http://region16.info
http://sro-mfo.ru

Модератор Юрій
(@yube)

9 лет, 2 месяца назад

А что в access логе по этим IP? Я вполне допускаю, что кроме wp-login.php, могут существовать и другие «точки входа».

Автор ildar777
(@ildar777)

9 лет, 2 месяца назад

Вот бы перекрыть их все.
Сейчас проверю logs и отпишусь.

Модератор Юрій
(@yube)

9 лет, 2 месяца назад

Вот бы перекрыть их все.

Точки? Неплохо бы.

Автор ildar777
(@ildar777)

9 лет, 2 месяца назад

По IP_85.140.92.188 Дела такие:
85.140.92.188 — — [02/Apr/2017:14:04:34 +0300] «GET /wp-admin HTTP/1.1» 301 1147 «-» «Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36»

85.140.92.188 — — [02/Apr/2017:14:04:34 +0300] «GET /wp-admin/ HTTP/1.1» 302 — «-» «Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36»

85.140.92.188 — — [02/Apr/2017:14:04:35 +0300] «GET /wp-login.php?redirect_to=http%3A%2F%2Fsro-mfo.ru%2Fwp-admin%2F&reauth=1 HTTP/1.1» 403 1139 «-» «Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36»

85.140.92.188 — — [02/Apr/2017:14:04:35 +0300] «GET /favicon.ico HTTP/1.1» 200 — «http://sro-mfo.ru/wp-login.php?redirect_to=http%3A%2F%2Fsro-mfo.ru%2Fwp-admin%2F&reauth=1» «Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36»

85.140.92.188 — — [02/Apr/2017:14:02:46 +0300] «GET /category/novosti-%20edinstva/ HTTP/1.1» 404 16067 «-» «Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36»

85.140.92.188 — — [02/Apr/2017:14:02:47 +0300] «GET /wp-content/plugins/bbpress/templates/default/css/bbpress.css?ver=2.5.8-5815 HTTP/1.1» 200 5104 «http://sro-mfo.ru/category/novosti-%20edinstva/» «Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.87 Safari/537.36»

Делал он там много чего, вот часть из них

SeVlad
(@sevlad)

9 лет, 2 месяца назад

Не видно, что бы кто-то куда-то вошел.
Но обращаю внимание — у Вас на втором сайта 403 отдаёт не апач, а LiteSpeed. Я лично не знаю этот веб-сервер, не могу ничего сказать, но допускаю, что он может не слушать htacceess, или не так применять, может у него свои правила блокировок.

Во всяком случае я проверил оба сайта — на wp-login.php везде 403. Т.е. правила блокировки по IP на этот файл успешно работают.
Автор ildar777
(@ildar777)

9 лет, 2 месяца назад
«Не видно, что бы кто-то куда-то вошел.»
Возможно надо весь лог посмотреть, но там простыня на 4 страницы.
Меня лишь смутило что в админке есть то что есть (скрин)

«Но обращаю внимание — у Вас на втором сайта 403 отдаёт не апач, а LiteSpeed.»
Возможно из за этого проблема, как это можно исправить?
- Ответ изменён 9 лет, 2 месяца назад пользователем ildar777.
- Ответ изменён 9 лет, 2 месяца назад пользователем ildar777.
Модератор Юрій
(@yube)

9 лет, 2 месяца назад

GET /wp-admin/ — 301/302 — нормально
GET /wp-login.php — 403 — нормально
Возможно, плагин протоколирования активности посчитал это за вход.

LiteSpeed. Я лично не знаю этот веб-сервер, не могу ничего сказать, но допускаю, что он может не слушать htacceess,

.htaccess существует только для апача. Если апач является «тыловым» обработчиком *.php, то он должен вернуть 403, а тот, что на фронте, ретранслировать юзеру. Так что тут всё должно работать корректно. А вот с файлами других типов до апача может дело и не дойти.
Автор ildar777
(@ildar777)

9 лет, 2 месяца назад
Допустим в случае sro-mfo.ru система просто подумала что кто то вошел в админку. и на 3 непонятных IP плагине активности мы пока закроем глаза.
В region16.info штурм идет полным ходом, не думаю что смогут подобрать пароль, но вот нагрузка создаваемая на хостинг напрягает. Неужели нет способов решения проблемы?
- Ответ изменён 9 лет, 2 месяца назад пользователем ildar777.
- Ответ изменён 9 лет, 2 месяца назад пользователем ildar777.
Модератор Юрій
(@yube)

9 лет, 2 месяца назад

нагрузка создаваемая на хостинг напрягает.

Вы видите ответ 200 на POST /wp-login.php? Если нет, если все ответы 403, то беспокоиться не о чем — это еще не подбор, а простук. Нагрузка на сервер от 403 не большая. Меньше будет только с отстрелом на подлете к http-серверу, скажем, с использованием fail2ban, но это уже уровень системного, а не веб-админа.
Автор ildar777
(@ildar777)

9 лет, 2 месяца назад
На счет ответа 200 вроде проверил все что можно, нигде нет.
Но вариант забить для меня не пойдет: Я каждый месяц отчитываюсь руководству по активности на сайте (по уставу) и думаю их эта картина совсем не порадует)
Так что я все равно в поиске решения
- Ответ изменён 9 лет, 2 месяца назад пользователем ildar777.
Модератор Юрій
(@yube)

9 лет, 2 месяца назад

fail2ban — лучшее решение

Или плагин протоколирования, который знает, что логин осуществляется методом POST, а в ответ даже на неверную попытку WP выдает статус 200.

Автор ildar777
(@ildar777)

9 лет, 2 месяца назад

Спасибо, попробую, но не сейчас) Установка геморная для меня

Просмотр 14 ответов — с 1 по 14 (всего 14)

Тема «Боты, подбор пароля, .htaccess» закрыта для новых ответов.

Темы

Самые популярные темы

Темы без ответов

Без вопроса

Решённые

Нерешённые

Все темы