Folyamatos támadás

okostobi · 2019. április 4. 18:20

Naponta 50-100 ilyen jön:
“A lockdown event has occurred due to too many failed login attempts or invalid username:
Username: admin
IP Address: 77.81.16.196”
Különböző IP címekről.
WP Security-t használok az oldalon, meg persze nem “admin” az admin.
Amúgy ezek mik? Botok próbálkoznak? Vagy ténylegesen ott ül az IT szakember és pötyögi?
Lehet tenni valamit ellenük? Vagy vegyem ki az értesítő email-t, ha zavar?

szepeviktor · 2019. április 6. 07:42

Szervusz!

Létező honlapok üzemeltetek, arra törekszem, hogy semmi hiba ne legyen évekig,
a fókuszom a sebességen, üzembiztonságon és a betöréseken van.

A munkámról 3 mp-ben https://www.szepe.net/
1 percben https://github.com/szepeviktor/debian-server-tools/blob/master/CV.md
1 nap alatt https://github.com/szepeviktor/debian-server-tools/blob/master/webserver/Production-website.md
itt minden ismeretemet elolvashatod, a szoftvereimet letöltheted https://github.com/szepeviktor
Esetleg felhívhatlak?

Minden jót kívánok!

SZÉPE Viktor, webes alkalmazás üzemeltetés / Running your application

ügyelet/hotline: +36-20-4242498 sms@szepe.net skype: szepe.viktor
Budapest, III. kerület

szepeviktor · 2019. április 6. 07:44

Nagyüzemben csinálják https://www.abuseipdb.com/check/77.81.16.196

okostobi · 2019. április 6. 10:00

Köszönöm szépen a választ! Úgy látom az marad, hogy szorgalmasan nyomkodom a DELETE-t

Mutansmuffin · 2019. április 8. 14:21

Szia! Ezt botok csinálják, nem kézzel próbálkoznak. Írnak egy script-et, ami pl. egy meglévő adatbázis alapján végigmegy sok weboldalakon. Ha használod a plugint, amit írtál, ott a Wp security -> Brute force pontban a “Enable Rename Login Page Feature:” -résznál állítsd át egydi url re a belépési pontot (pl: belepes2109) vagy bármire, illetve ugyan itt a capctha-t is be tudod állítani. Ez teljesen megfogja, maximum ha figyeled a 404-es oldalakat, akkor ezek generálhatnak ilyenenet, de nem kell foglalkozni velük, ezzel a résszel felesleges. Ezt minden oldalon eljátsszák, csak pl te tudsz róla, de sokan nem is figyelik, de ott is ez van.

Emiatt no para! Ezt kb x trillió oldalon eljátsszák! Ez ilyen “alap”. Én megmondom neked, nem emiatt lesz bajod, hanem amiatt, hogy mondjuk használsz 10-15 plugint, és egy arab/feka/kínai/orosz akinek nincs más dolga, csak az, hogy átnézze, melyik pluginban van olyan, hogy egy bejövő adatot nem szűrnek és esteleg a Wp ajax híváson keresztül futtathat kódot, MERT NEM SZŰRIK! hozhat létre admint stb. Ez ellen sok firewall plugin nem véd, ezért mentegesd az adatbázist időnként, mert jó ha van visszaállítási pontod.

szepeviktor · 2019. április 9. 17:17

Ezt pár éve annyira mélyen megtapasztaltam - mert segítettem az ilyen pluginok íróinak - hogy elkezdtem egy valós támadásokat kivédő/megelőző tűzfalat íni: https://github.com/szepeviktor/waf4wordpress azóta is hetente írok bele úgy szabályokat - némi erőfeszítés kell a használatához.

okostobi · 2019. december 28. 17:07

Azt honnan olvassák ki, hogy mi a login nevem? Mert nem admin

szepeviktor · 2019. december 29. 19:46

Listából dolgoznak. Kis webes keresés után meg lehet találni, mik a népszerű felhasználónevek.

Vagy REST API-n kérhetik le: /wp-json/wp/v2/users

Atomantiii · 2020. május 21. 05:02

Ma nekem is jött egy ilyen e-mail:

25 hibás bejelentkezési kísérlet (5 kizárás) x.x.x.x IP-címről

Az utolsó helyes bejelentkezés admin felhasználónévvel.

Az IP-cím 24 óra időre kizárásra került.

De nálam sincs admin felhasználó, kell vele foglalkoznom?

szepeviktor · 2020. május 21. 17:45

Igen, végig nagybetűs IGEN.

Nem érdemes a biztonsággal egy valódi incidensig várni.

Akinek van rá erőforrása (idő/pénz/ember) annak ajánlom ezt a talajvízig lehatoló jegyzetet:

github.com

szepeviktor/debian-server-tools/blob/master/webserver/WordPress-security.md

# Blocking WordPress attack vectors

### Strategy

- Reject traffic from known hostile networks
- Ban IP addresses on the very first suspicious request preventing futher scanning
- Serve requests as quickly as possible to prevent DoS attacks
- Lowest access level possible for users
- Monitor everything (source code, traffic, humans)

### Compromise from your computer and mobile

- Do not store usernames and passwords in browsers
- Use a password manager
- Second opinion anti-malware software (HitmanPro.Alert)
- [Protect devices](/Onboarding.md#cyber-security)

### Compromise from hosting provider

- Choose an enterprise ready server provider (e.g. [UpCloud](https://www.upcloud.com/register/?promo=U29Q8S))

This file has been truncated. show original

(ez nálam a napi rutin)

Atomantiii · 2020. május 22. 05:01

Annyira nem értek hozzá, így ez nekem nem sokat mond, de ma éjjel is jött egy hasonló e-mail.

Mi az amit tehetek ellene? Két bővítmény van felrakva, ami elvileg tiltja a sok téves bejelenkezés után az adott IP címet egy időre. (Limit Login Attempts Reloaded, Simple Login Lockdown)

szepeviktor · 2020. május 22. 08:32

Ha vannak erőforrásaid (ember/idő/pénz) akkor van lehetőség a tulajdonképpeni védekezésre.
Amúgy az a numero egyes védekezés, hogy naponta legyen teljes mentés egy idegen helyre.

Az Internet egy vad hely: nincs se rendőrség, se katonaság.

marton · 2020. május 27. 05:15

Azért azt halkan megjegyezném, hogy aki kicsit figyelt középiskolában matekórán amikor a kombinatorikáról volt szó, az tudhatja, hogy brute force támadással nem lehet jelszót feltörni.

Egy 10 karakter hosszú jelszó, ami tartalmaz kis- és nagybetűt, számot és speciális karaktert, annak egész pontosan 59873693923837890000 variációja van.

Szóval ha nem “123456” a jelszavad, akkor teljesen feleslegesek ezek a bővítmények.