Folyamatos támadás


#1

Naponta 50-100 ilyen jön:
“A lockdown event has occurred due to too many failed login attempts or invalid username:
Username: admin
IP Address: 77.81.16.196”
Különböző IP címekről.
WP Security-t használok az oldalon, meg persze nem “admin” az admin.
Amúgy ezek mik? Botok próbálkoznak? Vagy ténylegesen ott ül az IT szakember és pötyögi?
Lehet tenni valamit ellenük? Vagy vegyem ki az értesítő email-t, ha zavar? :slight_smile:


#2

Szervusz!

Létező honlapok üzemeltetek, arra törekszem, hogy semmi hiba ne legyen évekig,
a fókuszom a sebességen, üzembiztonságon és a betöréseken van.

A munkámról 3 mp-ben https://www.szepe.net/
1 percben https://github.com/szepeviktor/debian-server-tools/blob/master/CV.md
1 nap alatt https://github.com/szepeviktor/debian-server-tools/blob/master/webserver/Production-website.md
itt minden ismeretemet elolvashatod, a szoftvereimet letöltheted https://github.com/szepeviktor
Esetleg felhívhatlak?

Minden jót kívánok!

SZÉPE Viktor, webes alkalmazás üzemeltetés / Running your application


ügyelet/hotline: +36-20-4242498 sms@szepe.net skype: szepe.viktor
Budapest, III. kerület


#3

Nagyüzemben csinálják https://www.abuseipdb.com/check/77.81.16.196


#4

Köszönöm szépen a választ! Úgy látom az marad, hogy szorgalmasan nyomkodom a DELETE-t :slight_smile:


#5

Szia! Ezt botok csinálják, nem kézzel próbálkoznak. Írnak egy script-et, ami pl. egy meglévő adatbázis alapján végigmegy sok weboldalakon. Ha használod a plugint, amit írtál, ott a Wp security -> Brute force pontban a “Enable Rename Login Page Feature:” -résznál állítsd át egydi url re a belépési pontot (pl: belepes2109) vagy bármire, illetve ugyan itt a capctha-t is be tudod állítani. Ez teljesen megfogja, maximum ha figyeled a 404-es oldalakat, akkor ezek generálhatnak ilyenenet, de nem kell foglalkozni velük, ezzel a résszel felesleges. Ezt minden oldalon eljátsszák, csak pl te tudsz róla, de sokan nem is figyelik, de ott is ez van.

Emiatt no para! Ezt kb x trillió oldalon eljátsszák! Ez ilyen “alap”. Én megmondom neked, nem emiatt lesz bajod, hanem amiatt, hogy mondjuk használsz 10-15 plugint, és egy arab/feka/kínai/orosz akinek nincs más dolga, csak az, hogy átnézze, melyik pluginban van olyan, hogy egy bejövő adatot nem szűrnek és esteleg a Wp ajax híváson keresztül futtathat kódot, MERT NEM SZŰRIK! hozhat létre admint stb. Ez ellen sok firewall plugin nem véd, ezért mentegesd az adatbázist időnként, mert jó ha van visszaállítási pontod.


#6

Ezt pár éve annyira mélyen megtapasztaltam - mert segítettem az ilyen pluginok íróinak - hogy elkezdtem egy valós támadásokat kivédő/megelőző tűzfalat íni: https://github.com/szepeviktor/waf4wordpress azóta is hetente írok bele úgy szabályokat - némi erőfeszítés kell a használatához.