• Web profesionalci
    • Linux
    • Php
    • Mysql
    • Asp
    • CMS
    • Alati
  • Web korisnici
    • Sigurnost
    • Razno
    • How to
    • Alati
    • Plus usluge
  • Poduzetnici
    • WordPress
    • Domene
    • Konferencije
    • CMS

Plus.hr Blog Plus.hr Blog

  • Web profesionalci
    • Linux
    • Php
    • Mysql
    • Asp
    • CMS
    • Alati
  • Web korisnici
    • Sigurnost
    • Razno
    • How to
    • Alati
    • Plus usluge
  • Poduzetnici
    • WordPress
    • Domene
    • Konferencije
    • CMS
Početna»Linux»DDOS napad na WordPress instalacije
Linux Sigurnost

DDOS napad na WordPress instalacije

Autor Zvonimir Gembec na dan 12. travnja 2013. / 22 komentara

U toku je veliki DDOS napad na sve WordPress instalacije, a sastoji se od brute-force pokušaja probijanja pasworda. Ne samo mi, svi web hosteri na svijetu imaju u ovom trenutku problema s time.

Napad je jako dobro pripremljen i organiziran , a u ovom trenu zabilježeno je preko 100.000 ip adresa uključenih u ovaj napad.

Ukoliko imate ili održavate WordPress, prvo sto bi trebalo hitno napraviti je promijeniti admin password od svih WordPress instalacija. Pasworde ne ostavljajte jednostavnim, nego koristite najmanje 10 znamenaka, koristite velika i mala slova, obavezno koristite i specijalne znakove (^% $ # & @ *).

DDOS je počeo početkom tjedna, naime mi cijelo vrijeme primjećujemo neki određeni broj pokušaja loginova na wp-admin.php, no početkom tjedna to je naraslo na preko 50 requestova po sekundi. Simptomi su sporo učitavanje weba i spor ili totalno neupotrebljiv backend, a u peakovima napada web site prestaje raditi u potpunosti. To izgleda otprilike ovako:

Screen Shot 2013-04-12 at 10.50.31 AM

Mi smo još na početku napada počeli raditi filtere, pokušavali DDOS napad mitigirati i ublažiti posljedice, no zbog magnitude i vrste  napada, serveri povremeno postaju neresponzivni, a webovi prestaju raditi. Ništa ne pomaže niti način na koji wordpress logira korisnike, niti 404 stranica koja je često dinamička i ide kroz index.php na WordPressu.

Ono što Vi možete napraviti, nebi li sebi i nama olakšali situaciju je:

  • ODMAH izmijeniti password za Wordpres instalaciju u neki znatno kompliciraniji, koristeći mala slova, brojeve i znakove
  • Paswordom zaštiti “wp-login.php” datoteku prateći upute na dnu ovog posta
  • Instalirati plugin za rate limiting loginova
  • Instalirajte w3 Total Cache ili WP Super Cache, ne bi li instalaciju Wordpresa učinili otpornijom
  • Koristite CloudFlare, mozete ga instalirati jednostavno iz cPanela, a čak i u besplatnom modelu pruža zaštitu od ovakvih napada

Updateati ćemo ovaj blog post kako budemo dolazili do novih informacija.

Zaštita wp-login.php datoteke:

Unutar cPanela klikom na “Password Protected Directies” odaberite direktorij koji želite zaštiti (odaberite public_html)

Unutar ekrana koji će vam se otvoriti, pod “Create User:” odaberite korisničko ime i lozinku. Provjerite da je “Snaga” lozinke (“Strength”) iznad 80%. Pomoću “Password Generatora” možete generirati lozinke koje će biti Snage 100%. (Svakako zapišite tu lozinku)

Potom kroz File Manager , FTP ili kroz SSH navigirajte do direktorija gdje se nalazi vaša WordPress instalacija i kreirajte datoteku naziva “.htaccess”.
Potom otvorite tu datoteku i u nju ubacite sljedeći kod:

AuthType Basic
AuthName “Login required”
AuthUserFile “/home/<VAŠ USERNAME>/.htpasswds/public_html/passwd”
ErrorDocument 401 default
# Autentikacija za wp-login i wp-admin
<Files “wp-login.php”>
require valid-user
</Files>

* “VAŠ USERNAME” je vaše cpanel korisničko ime.

 

Post tagged: ddos wordpres wp wp-admin wp-login wp-login.php

O autoru

Zvonimir Gembec

Zvonimir Gembec

Povezani članci

Iframe attacks
Iframe attacks
Namjenski hosting i što sve treba znati o njemu?
Namjenski hosting i što sve treba znati o njemu?
Najbolji WordPress pluginovi: Defender i Akismet
Najbolji WordPress pluginovi: Defender i Akismet
Ruby on Rails
Ruby on Rails
Ranjivost u ASP.NET-u
Ranjivost u ASP.NET-u
Razlike Wildcard i standardnog SSL certifikata te koji odabrati?
Razlike Wildcard i standardnog SSL certifikata te koji odabrati?

22 komentara

  1. Ivan napisao:
    12. travnja 2013. u 10:56

    Meni je na mojim webovim pomogla instalacija Captche, ali neznam dali postoji kakav plugin za WP za to ….

    Prijavite se za odgovor
    1. Zvonimir Zvonimir napisao:
      12. travnja 2013. u 11:04

      Slažem se za sigurnost samog wordpresa, no ne pomaže u ovom slučaju iz razloga što je u pitanju jako velik broj requestova i serveri to fizički ne izdržavaju, naime wordpres nije bas lightweight aplikacija, i kada se desi takav DOS na aplikaciju, nastaju problemi sa stabilnošću.

      Prijavite se za odgovor
  2. Robi napisao:
    12. travnja 2013. u 11:20

    Tu jedino pomažu Cloudflare i CDN-ovi, a što se tiče samog vlasnika stranice. Meni je više od 50% upita preuzeo Cloudflare, a nešto malo manje bandwitha.

    Prijavite se za odgovor
  3. Me napisao:
    12. travnja 2013. u 11:25

    A ovaj plugin – BulletProof Security

    http://wordpress.org/extend/plugins/bulletproof-security/

    Prijavite se za odgovor
    1. Zvonimir Zvonimir napisao:
      12. travnja 2013. u 11:29

      Da, pomaže, ali samo kao zaštita od upada u wordpress, problem je ovdje sto je to toliko requestova da serveri ne izdržavaju opterecenje, ma kakvi bili.

      Prijavite se za odgovor
  4. Robi napisao:
    12. travnja 2013. u 11:36

    @Me nije toliko problem u samoj stranici, već u tome da dolazi do zagušenja servera. Regularni posjetitelji ne mogu ni doći do stranice. Treba upite preusmjeriti s domene na neki CDN da smanji i filtrira broj upita na server da on može normalno raditi.

    Prijavite se za odgovor
  5. Hrvoje napisao:
    12. travnja 2013. u 11:58

    Osim WP-a, pokusavaju uletavati i u Joomle
    Preporucujem instalirati i konfigurirati Admin Tools Pro za Joomlu.
    I naravno htaccess password na administrator direktorij

    Prijavite se za odgovor
  6. Zvonimir Zvonimir napisao:
    12. travnja 2013. u 13:29

    Broj hitova na wp-login.php je u tri dana sa 557.000 u 24 sata narastao na 1.785.000 hitova u 24 sata

    Prijavite se za odgovor
  7. Vinayak napisao:
    12. travnja 2013. u 13:44

    I am from one of the hosting provider in US. We are facing this problem from last 24 hours and could not find any suspicious from the server side. Do you know what can be done from the server end to prevent this ?

    Prijavite se za odgovor
    1. Zvonimir Zvonimir napisao:
      12. travnja 2013. u 13:50

      Since you have gmail address, and your IP is from India, so please, not here, contact us on our support

      Prijavite se za odgovor
  8. Vinayak napisao:
    12. travnja 2013. u 13:59

    @Zvonimir
    How to contact support ? Will they help me ?

    Prijavite se za odgovor
    1. Zvonimir Zvonimir napisao:
      12. travnja 2013. u 14:06

      Send an email to support@plus.hr from real email, tell us what firm and of course that we will help you.

      Prijavite se za odgovor
  9. Vinayak napisao:
    12. travnja 2013. u 14:12

    @Zvonimir

    Thank you !!! Will send

    Prijavite se za odgovor
  10. nikola napisao:
    12. travnja 2013. u 21:04

    Na codecanyon.com imate plug in hyde my wordpress… trebalo bi da resi problem pozdrav…

    Prijavite se za odgovor
    1. Saša Teković Saša Teković napisao:
      12. travnja 2013. u 22:51

      S obzirom da je poanta spriječiti requestove napadača prije nego što oni stignu do web servera, spomenuti plugin ne predstavlja adekvatno riješenje. Za mitigaciju napada smo koristili naprednije metode zaštite.

      Prijavite se za odgovor
  11. Mirko napisao:
    12. travnja 2013. u 22:59

    Za sada samo jaka lozinka i da username nije admin to bi bilo sasvim dovoljno

    Paswordom zaštiti “wp-admin” direktorij
    Instalirati plugin za rate limiting loginova
    Instalirajte w3 Total Cache ili WP Super Cache

    Ove tri stvari bi bile sasvim dovoljne uz jaku lozinku i username malo kopliciraniji

    Prijavite se za odgovor
  12. Bozidar napisao:
    16. travnja 2013. u 12:19

    Ljudi,
    koristim Better WP Security od prije 2 tjedna (kao da sam znao..ali nisam! 🙂 , i mogu reci da u zadnje vrijeme dobivam dosta upozorenja kako je privremeno pojedinim IP adresama zabranjen pristup site-u radi prevelikog broja pokusaja pristupa neuspjesnom lozinkom.

    Odlican plugin, jednostavan za podesavanje, svakom bih ga preporucio.
    ps. imam od prije i W3 Total Cache

    Prijavite se za odgovor
  13. Rasho napisao:
    18. travnja 2013. u 20:38

    Moze pomoci i mod_evasive instaliran na serveru.

    Prijavite se za odgovor
  14. Saša Teković Saša Teković napisao:
    18. travnja 2013. u 20:56

    @Rasho
    Može, ali ako je napad slabijeg intenziteta. Ozbiljni napadi se moraju mitigirati ispred web servera, što je ono što smo u konačnici učinili 😉

    Prijavite se za odgovor
  15. kreso napisao:
    8. lipnja 2013. u 9:00

    Hm,,

    to bi trebalo mozda prije nego dolazi do samog php-a i .htaccess file-a razati ..

    Ako je ikako moguce izolirati i skuziti range napada ddos-a od kud dolazi onda u iptables ubaciti npr:

    –src-range 192.168.1.100-192.168.1.200 .. DROP

    ili po konekciji limit iz C klase (24bit-a maska)

    –connlimit-above 20 –connlimit-mask 24

    uvijek postoji ona zadnja da se samo iz EU ili hr range-a ACCEPT-a konekcija .. ne pametno dobro!

    sretno plus!

    Prijavite se za odgovor

Odgovori Otkaži odgovor

Ukoliko želite ostaviti komentar, morate se prijaviti.

Prijavite se na newsletter

Oznake

alati botnet CMS cpanel datacentar ddos dedicated design dodatci domain domene ecommerce email exploit hack hackers hosting https infrastruktura keylogger konferencije Linux mail marketing migracija optimizacija password Php plugin pluginovi profit response security Shared hosting Sigurnost spam spyware ssd ssl vps web design web stranica windows wordpress zarada
  • Plus Web
  • Domene
  • Web hosting
  • Baza znanja
  • Podrška