|
На страницу Пред. 1, 2 |
|
|
| Чт Dec 11, 2014 10:25 am |
Start Post: Брутят админки сайтов - как боретесь?  |
![]()
Yabuti
V.I.P. |
Зарегистрирован: 28.11.2008
Сообщений: 16263
|
Обратиться по нику
|
| Yabuti |
Ответить с цитатой | | |
|
Всем привет!
Задолбали уже брутфорсеры, за неделю на одном сайте аж 218 попыток брута, причем, включен плагин, блокирующий IP после двух попыток подбора пароля и все равно продолжают брутить.
Еще что интересно - брутят логин не admin, а кастомный, откуда они его узнают?
Как боретесь с брутфорсерами?
Посоветуйте какой-нибудь плагин, а то нагрузку на хостинг создают.
Спасибо!  |
|
|
|
|
|
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
-- |
![]()
Сergio
Гуру |
Зарегистрирован: 08.07.2013
Сообщений: 1283
|
Обратиться по нику
|
| Сergio |
Ответить с цитатой | | |
|
| Еще забыли про WP Security Scan. Основная задача - сканирование установленной версии системы и проверка ее на возможные прорехи в безопасности. |
|
|
|
|
|
|
![]()
Taburetkin
Гуру |
Зарегистрирован: 25.02.2007
Сообщений: 1426
|
Обратиться по нику
|
| Taburetkin |
Ответить с цитатой | | |
|
все эти плагины на логин, перенос логина и прочее просто как мертвому припарка.
Никто в здравом уме не будет форсить вп логин, нахуя?
Легче пробить темы, плагины, установку на дырки и залить шелл - а там преспокойно посмотреть ваш ДБ конфиг файл.
И все - пароль в пхпадмин поменял и вперде! |
|
|
|
|
|
|
![]()
DrKronos
SEO-доктор |
Зарегистрирован: 11.03.2008
Сообщений: 13024
|
Обратиться по нику
|
|
|
 Здесь могла быть ваша реклама |
![]()
Skyworker
V.I.P. |
Зарегистрирован: 25.12.2013
Сообщений: 11640
|
Обратиться по нику
|
| Skyworker |
Ответить с цитатой | | |
|
| Taburetkin писал(а): |
все эти плагины на логин, перенос логина и прочее просто как мертвому припарка.
Никто в здравом уме не будет форсить вп логин, нахуя?
|
Вот именно, что брутом занимается только одна школота, настоящие взломщики ищут уязвимости движка, через них и ломают сайты. А такие уязвимости были, есть и будут в движке WP всегда. |
|
|
|
|
|
Надежный и отзывчивый VPS хостинг для серьезных проектов -|||- Топовая партнерка под серый крипто-трафф |
![]()
blogmatic
V.I.P. |
Зарегистрирован: 10.08.2010
Сообщений: 4775
|
Обратиться по нику
|
| blogmatic |
Ответить с цитатой | | |
|
| Цитата: |
| А такие уязвимости были, есть и будут в движке WP всегда.
|
Ничего удивительного, тем более если больше половины бесплатных шаблонов для wordpress зараженными хакерскими веб-шеллами и бэкдорами. |
|
|
|
|
|
|
![]()
Shkiff +
V.I.P. |
Зарегистрирован: 09.03.2009
Сообщений: 3227
|
Обратиться по нику
|
| Shkiff + |
Ответить с цитатой | | |
|
да не, просто ща бля по интеренту гуляют мануалы про брут и заработок по пирогам.
Е**л я того человека, который продавал курс по добыче и заработку на шеллах.  |
|
|
|
|
|
Фарма Партнёрка с отличным конвертом!!! |
![]()
universite
Свой |
Зарегистрирован: 07.08.2014
Сообщений: 3
|
Обратиться по нику
|
| universite |
Ответить с цитатой | | |
|
Запуск скрипта на парсинг глобальных логов раз в полчаса и при пороге 3-10 захода с одного IP - в бан на сутки.
Белые списки тоже есть. |
|
|
|
|
|
|
![]()
Tomas-R + +
V.I.P. |
Зарегистрирован: 07.01.2008
Сообщений: 5567
|
Обратиться по нику
|
|
|
рекламная подпись (в PM) |
![]()
ceber
V.I.P. |
Зарегистрирован: 13.05.2010
Сообщений: 4290
|
Обратиться по нику
|
| ceber |
Ответить с цитатой | | |
|
| Цитата: |
| Задолбали уже брутфорсеры, за неделю на одном сайте аж 218 попыток брута, причем, включен плагин, блокирующий IP после двух попыток подбора пароля и все равно продолжают брутить.
|
Yabuti, крупный сайт? Если он не представляет конкуренции, кому может понадобиться его брутить? |
|
|
|
|
|
|
![]()
narolskay +
Гуру |
Зарегистрирован: 11.06.2009
Сообщений: 1038
|
Обратиться по нику
|
| narolskay + |
Ответить с цитатой | | |
|
| Ну а если крупный проект, то Skyworker дал хорошую идею про VPN. |
|
|
|
|
|
Ищете хостинг? Beget.ru
месяц бесплатного тестирования! |
![]()
mr2me + + +
Опытный |
Зарегистрирован: 02.02.2015
Сообщений: 159
|
Обратиться по нику
|
| mr2me + + + |
Ответить с цитатой | | |
|
а может через iptables по string (по строке) блокировать "пакеты входящие" на linux vps содержащие в пакете название "wp-admin" , это для wordpress.
даже ели зальют шелл, если iptables будет блочить все и вся на vps, то даже залитый шелл ничего не сможет сделать, будет вхолостую работать. |
|
|
|
|
|
|
![]()
SAW +
Гуру |
Зарегистрирован: 07.03.2008
Сообщений: 1202
|
Обратиться по нику
|
| SAW + |
Ответить с цитатой | | |
|
| у меня например LitePublisher а не WP. Тоже бесплатный и тоже как я понял с дырами... При чем папки админки там нет, адрес админки виртуальный. Спросил у разработчика где админка, тот не5 отвечает а лиш говорит что админка хорошо защищена. Как мне можно защетить админку? У меня толлько сплоги, их больше сотши, так что двойная авторизация не подойдет, так как заполняются они софтом, а софт не поддержует двойную авторизацию. |
|
|
|
|
|
Комбайн для настоящих WEBмастеров! Лучший реггер фрихостов! |
|
|
