Поддержка Проблемы и решения Как закрыть доступ к системным папкам?

  • Здравствуйте,
    У меня на сайте в очередной раз был превышен лимит хостинга по нагрузке на БД. Сегодня и вовсе с утра приходит по сообщению раз в несколько секунд о блокировке того или иного IP из-за слишком большого количества попыток входа (установлен плагин Better WP Security, также установлен плагин Wordfence Security). В последний раз такая лавина обращений была около месяца назад из-за DDOS-атаки на хостера, но сейчас у него таких проблем нет. Особых аномалий специалист в техподдержке не обнаружил, порекомендовал запросить и изучить логи. В то же время он увидел обращения и к системным файлам. Специалист сказал, что .htaccess можно настроить так, чтобы к системным файлам мог обращаться только заданный IP, а всем остальным выдавалась ошибка, причем это настройка для WP своя. Вопросы такие:

    1) Это можно сделать средствами уже установленных плагинов Better WP Security и Wordfence Security, или какого-то другого плагина? В своих плагинах я нашел только возможность блокировки заданных IP, а не блокировки обращения к системным папкам всех IP, кроме моего.

    2) Если нет — как это можно сделать вручную, существуют ли образцы кода?

    3) Как это сделать, чтобы при этом не запретить и не затруднить индексацию сайта поисковыми роботами?

    Спасибо.

Просмотр 9 ответов — с 61 по 69 (всего 69)
  • Модератор Yui

    (@fierevere)

    永子

    1) Правильно ли я понял, что это будет означать невозможность написания комментариев к записям? Не хотел бы этого лишаться.

    обычные комментарии будут работать

    вы не сможете администрировать вордпресс через мобильное приложение или программы-клиенты. весь функционал веб останется доступным

    также не будут работать пингбэки, как внутренние, так и внешние
    кстати ваш кусок лога это и есть пингбэки, возможно спам,через это спам тоже идет

    2) Можно ли как-нибудь узнать не был ли он уже взломан и модифицирован нужным образом?

    сравните с оригиналом из дистрибутива

    Wikicms, Yui, спасибо.

    Добавил в www\htdocs\.htaccess следующий фрагмент:

    <files xmlrpc.php>
    Order allow,deny
    Deny from all
    </files>

    Но проблема явно не в этом — файл соответствует тому, что в дистрибутиве. И сегодня же меня взломали в очередной раз, судя по всему — с IP 204.12.247.162. В 16.00 в очередной раз был отредактирован .htaccess, из которого в очередной был удален запрет на обращения к wp-login.php со всех IP, кроме моего. В это же время, в 16.00, пришло сообщение:

    A хост, 204.12.247.162(you can check the host at http://ip-adress.com/ip_tracer/204.12.247.162) был заблокирован сайт WordPress в МОЙ САЙТ permanently из-заслишком много попыток не существующий открыть файл. Вы можете войти на сайт вручную сняв блокировку, если необходимо.

    Судя по всему, это какой-то бот с сайта majestic12.co.uk. В http-логах информации на 16.00 пока нет, но вот небольшая часть обращений с этого IP:

    204.12.247.162 — — [21/Oct/2013:11:58:15 +0000] «GET /robots.txt HTTP/1.0» 200 420 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    204.12.247.162 — — [21/Oct/2013:11:58:41 +0000] «GET /?feed=rss2&tag=%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8-%D0%B1%D1%83%D0%B4%D1%83%D1%89%D0%B5%D0%B3%D0%BE HTTP/1.0» 404 961 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    204.12.247.162 — — [21/Oct/2013:11:58:28 +0000] «GET /?feed=rss2&tag=%D0%BF%D0%B0%D1%82%D1%87 HTTP/1.0» 301 — «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    204.12.247.162 — — [21/Oct/2013:11:58:25 +0000] «GET /?feed=rss2&tag=%D0%B1%D0%BE%D0%B4%D0%B8%D1%85%D0%B0%D0%BA%D0%B5%D1%80%D1%8B HTTP/1.0» 404 912 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    204.12.247.162 — — [21/Oct/2013:11:59:10 +0000] «GET /novy-j-rejting-proizvoditel-nosti-smartfonov-ot-which/ HTTP/1.0» 200 26153 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    204.12.247.162 — — [21/Oct/2013:11:59:24 +0000] «GET /?tag=%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D0%BE HTTP/1.0» 404 24677 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    204.12.247.162 — — [21/Oct/2013:11:59:17 +0000] «GET /?tag=%D0%B1%D0%B0%D1%82%D0%B0%D1%80%D0%B5%D1%8F HTTP/1.0» 404 24677 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    204.12.247.162 — — [21/Oct/2013:11:59:20 +0000] «GET /?tag=%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C HTTP/1.0» 404 24677 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    204.12.247.162 — — [21/Oct/2013:11:58:56 +0000] «GET /?feed=rss2&tag=%D1%8D%D0%BD%D0%B5%D1%80%D0%B3%D0%B5%D1%82%D0%B8%D0%BA%D0%B0 HTTP/1.0» 404 912 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    204.12.247.162 — — [21/Oct/2013:11:58:53 +0000] «GET /?feed=rss2&tag=%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BC%D0%BE%D1%82%D0%BE%D1%86%D0%B8%D0%BA%D0%BB%D1%8B HTTP/1.0» 404 948 «-» «Mozilla/5.0 (compatible; MJ12bot/v1.4.4; http://www.majestic12.co.uk/bot.php?+

    Что посоветуте?

    Что посоветуте?

    перестать наводить панику 🙂
    Сделайте дамп БД и перенесите на другой хостинг — идеальный совет, имхо 😛

    Модератор Yui

    (@fierevere)

    永子

    это обычный поисковый бот, хакерской активности за ним нет, он делает сео анализ ссылок

    Никакой паники, Wikicms, рассказываю все как есть. Уточните пжст:
    1) Вы считаете в этом вина хостера?
    2) Переход на другой хостинг может негативно повлиять на индексацию поисковиками? Сайт под АГС Яндекса, но Google пока индексирует его хорошо.
    3) Перенос БД в нынешнем виде на новый хостинг разве не воспроизведет на новом месте все прежние дыры в защите сайта?

    Yui, вы думаете совпадение времени взлома .htaccess со временем блокировки плагином этого бота случайно?

    Что-нибудь можно предпринять для выявления дыры в сайте?

    1. У вас проблемы, поэтому вы должны принимать решение, я высказал свое мнение.
    2. Связи с хостером не прослеживаю
    3. Обычно в БД не оставляют закладок, после получения данных все-равно всё очищается.

    Что-нибудь можно предпринять для выявления дыры в сайте?

    Судя по количеству и качеству вопросов — навыков в этом деле у вас никаких, лучше найдите друга или спеца и попросите его «прошерстить» сайт..

    Модератор Yui

    (@fierevere)

    永子

    Yui, вы думаете совпадение времени взлома .htaccess со временем блокировки плагином этого бота случайно?

    это нормальный бот, единственный его грех — он слишком агрессивно «шерстит» сайт когда приходит, ну и польза «Majestic SEO» тоже как бы не особенно очевидна. Но в хакерской активности он вне подозрений.

    Последние две недели несанкционированные изменения в файлы не вносились, сообщения от плагина Better WP Security о частых попытках входа не приходили (впрочем, возможно что плагин просто перестал работать, поскольку не срабатывает резервное копирование по расписанию — даже несмотря на переустановку). Между тем сегодня нагрузка на процессор составила 146.73 мин., вчера — 172.68 (норма — 50-60). От хостера посыпались очередные угрожающие письма о блокировке сайта. В оба дня посещения составляли около 100 человек (нормальная нагрузка на процессор была и при большем количестве посетителей). Никаких обновлений по блогу, кроме новых записей, я не делал.

    У уважаемых специалистов есть какие-нибудь версии относительно возросшей в три раза нагрузки?

    До сих пор такие взлеты возникали только во время массированных сообшений о слишком большом количестве попыток входа (одно сообщение раз в несколько секунд), в последнее время по времени они совпадали с несанкционированным удалением из .htaccess блокировки доступа к административным файлам со всех IP кроме моего (блокировка работает, проверял). Сейчас атак нет, чужие IP блокируются — но опять не слава Богу.

Просмотр 9 ответов — с 61 по 69 (всего 69)
  • Тема «Как закрыть доступ к системным папкам?» закрыта для новых ответов.