Sveiki, praeitą savaitę patyrėme labai geras atakas iš botnetų, taigi mūsų kolūkis kelias valandas buvo leisgyvis. Šį pirmadienį jos vėl pasikartojo, nors buvo švelniau, kadangi spėjom truputį pasiruošti, tai buvo jau mažiau panašu į DDoS (Distributed Denial of Service). Bet buvo irgi negerai. Kadangi nežinome, kaip puola kitus lietuviškus puslapius, tai tiesiog pasidaliname informacija.
Atakų tikslas buvo bandymai grubiu būdu (brute force) nulaužti įvairių popo.lt blogų slaptažodžius. Kadangi nepastebėjome, kad būtų pavykę, tai tiesiog informuojame, kad slaptažodžius geriau turėti saugius. Tokie slaptažodžiai kaip „123“ nėra saugūs, sugalvokite ką nors gudresnio. Jei pastebėsit, kad kažkas ne taip, parašykit į komentarus čia.
Informacija kolegoms adminams. Atakos turėjo bendrą patterną:
„POST /wp-login.php HTTP/1.0“ – „http://kokstaiblogas.popo.lt/wp-login.php“ „Mozilla/5.0 (Windows NT 6.1; rv:19.0) Gecko/20100101 Firefox/19.0“
IP adresai skyrėsi, dažniasuai vis kiti. Kreipimaisi ėjo po kelias dešimt per sekundę, kaip suprantat MySQL DB apkrova ir Apache apkrova buvo gera. Bet kaip matot, visur ėjo POST į login.php ir be to su specifišku user agentu. Sprendimas – agentui uždrausti login.php, nes tokių vartotojų visviena neturim.
O jei suklydom ir turim tokių užblokuotų ir neprisiloginat tai parašykit čia mums į komentarus, padarysim specialų sprendimą.
Apsisaugojimas nuo šito botneto:
atsidarom .htaccess, pridedam tokias eilutes:
# against 2013 may botnet attacks:
# Botnet blocker
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_USER_AGENT} Mozilla/5\.0\ \(Windows\ NT\ 6\.1;\ rv\:19\.0\)\ Gecko/20100101\ Firefox/19\.0 [NC]
RewriteCond %{REQUEST_URI} wp-login\.php
RewriteRule .* - [F]
</IfModule>
Eilutes reikia pridėti prieš kitas rewrite taisykles, nes kitaip neveiks. Viskas. Botnetas gauna 403 ir tyliai verkia kamputyje, apkrovos nukrenta iki nulio.
Aišku, ką daryt nuo kitų atvejų, dar neaišku. Bet tikėkimės, kad ir kiti bus tokie pat durni, kad gautųsi taip paprastai blokuot.
Čia tie botnetai vėl atakuoja štoli? Neveikė popo visą rytą…
Šiaip patarimas į visokius wordpress login puslapius blokuoti pagal HTTP versiją „HTTP/1.0“. Naudoju poroj vietų – sustabdo 90% bruteforce’erių ir whiteliste yra vos keli IP, kurie turi durnus proxius, kurie 1.1 nemoka. Pagal USER AGENT daug prasčiau sekėsi blokavimus daryti ir daug dažniau klientus nufiltruodavau.