Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
04.08.2013 15:59, Vladislav Prodan пишет: 2. С участием владельца сайта переименовать файл для входа в какое-нибудь трудное имя, например administator/indexHJK28bhy2H.php, чтобы данное имя было известно только владельцу сайта. А на /administator/index.php поставить статическую заглушку, которую nginx может отдавать со скоростью пулемёта. А лучше пароль на директорию повесить. В конечном счёте так и пришлось делать. Всё остальное не шибко помогало ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: Re[2]: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
А мне кажется всё это неэффективно. IP адресов прорва и каждый задолбаешься блокировать, а нагрузка прёт. Эффективных вариантов вижу 2: 1. С помощью nginx сделать ограничение ОБЩЕГО количества подключений к отвечающему за пароль URL (т.е. /administrator/index.php для Джумлы и /wp-login.php для Вордпресса). Поставить скажем штуки 2 и всё. Да, так и сам владелец сайта зайти не сможет, но для его IP можно сделать исключение. Зато остальные сайты на сервере смогут нормально работать 2. С участием владельца сайта переименовать файл для входа в какое-нибудь трудное имя, например administator/indexHJK28bhy2H.php, чтобы данное имя было известно только владельцу сайта. А на /administator/index.php поставить статическую заглушку, которую nginx может отдавать со скоростью пулемёта. 4 августа 2013 г., 15:21 пользователь Vladislav Prodan univers...@ukr.netнаписал: --- Исходное сообщение --- От кого: Nick Knutov m...@knutov.com Дата: 3 августа 2013, 14:13:32 Тем, что он пропускает запросы на бекэнд. Размер ботнета, перебирающего пароли - примерно 100 000 ип. Он не весь сразу приходит, но в общем случае, или можно использовать простое ограничение вроде с одного ип не чаще 1 запроса в минуту/секунду, но это просто снижает нагрузку до приемлимого уровня, а не решает проблему. У меня скрипт каждые 5 минут парсит общий (суточный) лог нгинкса nginx-access.log. И если накапливается 30 запросов на перебор паролей вордпресса/джумлы с 1 IP, то этот IP добавляется в глобальный список deny. -- Vladislav V. Prodan System Network Administrator http://support.od.ua +380 67 4584408, +380 99 4060508 VVP88-RIPE ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
On 08/04/13 14:59, Vladislav Prodan wrote: --- Исходное сообщение --- От кого: Виктор Вислобоков corocho...@gmail.com Дата: 4 августа 2013, 14:39:32 А мне кажется всё это неэффективно. IP адресов прорва и каждый задолбаешься блокировать, а нагрузка прёт. Кто задолбается блокировать? Скрипт? nginx? Для владельца ресурса достаточно трех попыток зайти на свой ресурс. А пороговое значение (у меня) - 30 попыток и есть куда снижать. Скрипт на awk, спокойно парсит гигобайтные логи за несколько (десятков) секунд. Эффективных вариантов вижу 2: 1. С помощью nginx сделать ограничение ОБЩЕГО количества подключений к отвечающему за пароль URL (т.е. /administrator/index.php для Джумлы и /wp-login.php для Вордпресса). Поставить скажем штуки 2 и всё. Да, так и сам владелец сайта зайти не сможет, но для его IP можно сделать исключение. Зато остальные сайты на сервере смогут нормально работать Белые списки само собой существуют. 2. С участием владельца сайта переименовать файл для входа в какое-нибудь трудное имя, например administator/indexHJK28bhy2H.php, чтобы данное имя было известно только владельцу сайта. А на /administator/index.php поставить статическую заглушку, которую nginx может отдавать со скоростью пулемёта. А лучше пароль на директорию повесить. Joomla пишет в logs/error.php о неуспешных попытках аутентификации. Формат: date timepriorityclientipcategory На этот файл можно натравить fail2ban и принимать необходимое решение. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
На этот файл можно натравить fail2ban и принимать необходимое решение. А если у вас несколько сотен виртуалхостов, ваш fail2ban будет жёско иметь сервер парся логи. А поскольку ботнеты бывают ну очень большими, вы ещё рискуете получить каку от ядра, когда таблица файрвола будет забита десятками тысяч IP адресов. 4 августа 2013 г., 17:40 пользователь Sergey Kobzar sergey.kob...@itcraft.org написал: On 08/04/13 14:59, Vladislav Prodan wrote: --- Исходное сообщение --- От кого: Виктор Вислобоков corocho...@gmail.com Дата: 4 августа 2013, 14:39:32 А мне кажется всё это неэффективно. IP адресов прорва и каждый задолбаешься блокировать, а нагрузка прёт. Кто задолбается блокировать? Скрипт? nginx? Для владельца ресурса достаточно трех попыток зайти на свой ресурс. А пороговое значение (у меня) - 30 попыток и есть куда снижать. Скрипт на awk, спокойно парсит гигобайтные логи за несколько (десятков) секунд. Эффективных вариантов вижу 2: 1. С помощью nginx сделать ограничение ОБЩЕГО количества подключений к отвечающему за пароль URL (т.е. /administrator/index.php для Джумлы и /wp-login.php для Вордпресса). Поставить скажем штуки 2 и всё. Да, так и сам владелец сайта зайти не сможет, но для его IP можно сделать исключение. Зато остальные сайты на сервере смогут нормально работать Белые списки само собой существуют. 2. С участием владельца сайта переименовать файл для входа в какое-нибудь трудное имя, например administator/indexHJK28bhy2H.**php, чтобы данное имя было известно только владельцу сайта. А на /administator/index.php поставить статическую заглушку, которую nginx может отдавать со скоростью пулемёта. А лучше пароль на директорию повесить. Joomla пишет в logs/error.php о неуспешных попытках аутентификации. Формат: date timepriorityclientipcategory На этот файл можно натравить fail2ban и принимать необходимое решение. __**_ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/**mailman/listinfo/nginx-ruhttp://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
Меня всегда неимоверно радовали господа, предлагающие что-нибудь глобально запрестить для всех ип и сделать исключение для ип одного человека. Догадайтесь почему :) Остальные сайты (да и атакуемые) и так прекрасно работают при правильном софте/конфигах. 2 - нереалистичная идея. Шаред хостинг например, таких сайтов - тысячи. Да и проблему никак не решает, потому что ссылка на этот логин будет на главной странице, например, потому что там кроме админа могут быть и другие юзеры. 04.08.2013 17:39, Виктор Вислобоков пишет: А мне кажется всё это неэффективно. IP адресов прорва и каждый задолбаешься блокировать, а нагрузка прёт. Эффективных вариантов вижу 2: 1. С помощью nginx сделать ограничение ОБЩЕГО количества подключений к отвечающему за пароль URL (т.е. /administrator/index.php для Джумлы и /wp-login.php для Вордпресса). Поставить скажем штуки 2 и всё. Да, так и сам владелец сайта зайти не сможет, но для его IP можно сделать исключение. Зато остальные сайты на сервере смогут нормально работать 2. С участием владельца сайта переименовать файл для входа в какое-нибудь трудное имя, например administator/indexHJK28bhy2H.php, чтобы данное имя было известно только владельцу сайта. А на /administator/index.php поставить статическую заглушку, которую nginx может отдавать со скоростью пулемёта. -- Best Regards, Nick Knutov http://knutov.com ICQ: 272873706 Voice: +7-904-84-23-130 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
Остальные сайты (да и атакуемые) и так прекрасно работают при правильном софте/конфигах. Ну-ну, блажен кто верует! При хорошей атаке с большого ботнета, даже циска ложиться, куда уж вам с вашими конфигами. Вас видимо просто ни кто ни разу КОНКРЕТНО не ддосил. 2 - да не очень хорошее решение. Тут предложили пароль ставить на каталог - тоже выход! 4 августа 2013 г., 18:58 пользователь Nick Knutov m...@knutov.com написал: Меня всегда неимоверно радовали господа, предлагающие что-нибудь глобально запрестить для всех ип и сделать исключение для ип одного человека. Догадайтесь почему :) Остальные сайты (да и атакуемые) и так прекрасно работают при правильном софте/конфигах. 2 - нереалистичная идея. Шаред хостинг например, таких сайтов - тысячи. Да и проблему никак не решает, потому что ссылка на этот логин будет на главной странице, например, потому что там кроме админа могут быть и другие юзеры. 04.08.2013 17:39, Виктор Вислобоков пишет: А мне кажется всё это неэффективно. IP адресов прорва и каждый задолбаешься блокировать, а нагрузка прёт. Эффективных вариантов вижу 2: 1. С помощью nginx сделать ограничение ОБЩЕГО количества подключений к отвечающему за пароль URL (т.е. /administrator/index.php для Джумлы и /wp-login.php для Вордпресса). Поставить скажем штуки 2 и всё. Да, так и сам владелец сайта зайти не сможет, но для его IP можно сделать исключение. Зато остальные сайты на сервере смогут нормально работать 2. С участием владельца сайта переименовать файл для входа в какое-нибудь трудное имя, например administator/indexHJK28bhy2H.php, чтобы данное имя было известно только владельцу сайта. А на /administator/index.php поставить статическую заглушку, которую nginx может отдавать со скоростью пулемёта. -- Best Regards, Nick Knutov http://knutov.com ICQ: 272873706 Voice: +7-904-84-23-130 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re[2]: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
--- Исходное сообщение --- От кого: Nick Knutov m...@knutov.com Дата: 4 августа 2013, 17:59:05 Меня всегда неимоверно радовали господа, предлагающие что-нибудь глобально запрестить для всех ип и сделать исключение для ип одного человека. Догадайтесь почему :) Мне за сутки приходит с 10-к абьюз на моих пользователей. И мне приходится реагировать, чтоб мои сети не попали в черные листы. И в то же время мониторинг подсказывает сотни IP, которые за сутки атаковали меня. Благо, абьюзы генерятся мониторингом автоматом. Если это российские IP, то ответа на абьюзу не дождешься, в особо тяжких случаях, приходится банить сетями. А потом тут удивляются, откуда столько IP в ботнетах? P.S. Вот сейчас ко мне долбится ботнет мощностью 5К IP. Скрипты банят, сайты не страдают. -- Vladislav V. Prodan System Network Administrator http://support.od.ua +380 67 4584408, +380 99 4060508 VVP88-RIPE ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
04.08.2013 15:39, Виктор Вислобоков пишет: 2. С участием владельца сайта переименовать файл для входа в какое-нибудь трудное имя, например administator/indexHJK28bhy2H.php, чтобы данное имя было известно только владельцу сайта. А на /administator/index.php поставить статическую заглушку, которую nginx может отдавать со скоростью пулемёта. до первого обращения на урл через хром. Делали тесты - у чела свой личный самописный сервак на нестандартном посту, только по айпи. После моего захода хромом (фф с того же компа - нет такого) -- к нему прибегает толпа всяких w00t ботов и прочей мерзости.. и как-то одна из страниц в гугле появилась, при том что нигде ссылки на неё не размещались. Авторизация типа бейсик - куда лучше вариант. ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
Я - хостер. Я не верую, я это вживую вижу на наших серверах. Но у нас свои сборки софта, которые мы вылизываем, и очень нестандартные конфиги, потому всё это работает. Маленькие ботнеты мы не замечаем, большие фильтруем, с нашей стороны всё обычно работает, если это боты, а не забивка канала. А циска - да, циска может и ложится. А пароль на каталог - это неинтересно. Давайте сразу пароль на сайт. Гарантированно решит проблему. 04.08.2013 21:56, Виктор Вислобоков пишет: Остальные сайты (да и атакуемые) и так прекрасно работают при правильном софте/конфигах. Ну-ну, блажен кто верует! При хорошей атаке с большого ботнета, даже циска ложиться, куда уж вам с вашими конфигами. Вас видимо просто ни кто ни разу КОНКРЕТНО не ддосил. 2 - да не очень хорошее решение. Тут предложили пароль ставить на каталог - тоже выход!\-- Best Regards, Nick Knutov http://knutov.com ICQ: 272873706 Voice: +7-904-84-23-130 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
Я - хостер. Я не верую, я это вживую вижу на наших серверах. Да я как бы тоже не погулять вышел Но у нас свои сборки софта, которые мы вылизываем А у меня к сожалению не всегда. И Plesk есть, например и даже nginx не везде возможен в силу разных причин. Маленькие ботнеты мы не замечаем, Аналогыгычно большие фильтруем Скорее средние Большие ботнеты можно фильтровать только при наличии циски да ещё не абы какой. А пароль на каталог - это неинтересно. Давайте сразу пароль на сайт. Пароль на сайт не надо, а вот пароль на административную часть сайта - почему нет? 4 августа 2013 г., 22:09 пользователь Nick Knutov m...@knutov.com написал: Я - хостер. Я не верую, я это вживую вижу на наших серверах. Но у нас свои сборки софта, которые мы вылизываем, и очень нестандартные конфиги, потому всё это работает. Маленькие ботнеты мы не замечаем, большие фильтруем, с нашей стороны всё обычно работает, если это боты, а не забивка канала. А циска - да, циска может и ложится. А пароль на каталог - это неинтересно. Давайте сразу пароль на сайт. Гарантированно решит проблему. 04.08.2013 21:56, Виктор Вислобоков пишет: Остальные сайты (да и атакуемые) и так прекрасно работают при правильном софте/конфигах. Ну-ну, блажен кто верует! При хорошей атаке с большого ботнета, даже циска ложиться, куда уж вам с вашими конфигами. Вас видимо просто ни кто ни разу КОНКРЕТНО не ддосил. 2 - да не очень хорошее решение. Тут предложили пароль ставить на каталог - тоже выход!\-- Best Regards, Nick Knutov http://knutov.com ICQ: 272873706 Voice: +7-904-84-23-130 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
Возможно. Я не специалист по Джумле. В Друпале например в /admin/ кроме администраторов никого не бывает. Но если стоит вопрос в том, что сервер лежит и не работают ВСЕ клиенты, или часть клиентов испытывает неудобства зато все могут работать, я выберу последнее. 4 августа 2013 г., 23:32 пользователь Nick Knutov m...@knutov.com написал: Потому что там бывают простые постоянные юзеры, у которых есть аккаунты для комментов, например. 05.08.2013 1:24, Виктор Вислобоков пишет: А пароль на каталог - это неинтересно. Давайте сразу пароль на сайт. Пароль на сайт не надо, а вот пароль на административную часть сайта - почему нет? -- Best Regards, Nick Knutov http://knutov.com ICQ: 272873706 Voice: +7-904-84-23-130 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
ulogin ? суббота, 3 августа 2013 г. пользователь Nick Knutov писал: Кто-нибудь использует ModSecurity для nginx в продакшене? Как оно сейчас, стабильно ли? Заодним, какие есть хорошие и простые методы защиты сайтов на вордпрессе и джумле от ботов, перебирающих пароли? У меня, например, не удалось быстро заставить работать naxsi + doci-rules, ищу альтернативы. -- Best Regards, Nick Knutov ___ nginx-ru mailing list nginx-ru@nginx.org javascript:; http://mailman.nginx.org/mailman/listinfo/nginx-ru ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
Hello! On Sat, Aug 03, 2013 at 01:31:03AM +0600, Nick Knutov wrote: Заодним, какие есть хорошие и простые методы защиты сайтов на вордпрессе и джумле от ботов, перебирающих пароли? У меня, например, не удалось быстро заставить работать naxsi + doci-rules, ищу альтернативы. [...] Я стесняюсь спросить - а limit_req чем не подходит? http://nginx.org/r/limit_req -- Maxim Dounin http://nginx.org/en/donation.html ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
Re: ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
Тем, что он пропускает запросы на бекэнд. Размер ботнета, перебирающего пароли - примерно 100 000 ип. Он не весь сразу приходит, но в общем случае, или можно использовать простое ограничение вроде с одного ип не чаще 1 запроса в минуту/секунду, но это просто снижает нагрузку до приемлимого уровня, а не решает проблему. Если придумывать что-то сложнее, чем фильтр по $binary_remote_addr, то это надо еще думать, и памяти оно начинает занимать заметно больше. При этом уже существуют хорошо работающие правила для mod_security (и не только на конкретно этот случай) и для naxsi есть doxi-rules (которые я уже даже перестал пытаться понимать) 03.08.2013 16:31, Maxim Dounin пишет: Hello! On Sat, Aug 03, 2013 at 01:31:03AM +0600, Nick Knutov wrote: Заодним, какие есть хорошие и простые методы защиты сайтов на вордпрессе и джумле от ботов, перебирающих пароли? У меня, например, не удалось быстро заставить работать naxsi + doci-rules, ищу альтернативы. [...] Я стесняюсь спросить - а limit_req чем не подходит? http://nginx.org/r/limit_req -- Best Regards, Nick Knutov http://knutov.com ICQ: 272873706 Voice: +7-904-84-23-130 ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
ModSecurity, защита WP и джумлы от ботов, перебирающих пароли
Кто-нибудь использует ModSecurity для nginx в продакшене? Как оно сейчас, стабильно ли? Заодним, какие есть хорошие и простые методы защиты сайтов на вордпрессе и джумле от ботов, перебирающих пароли? У меня, например, не удалось быстро заставить работать naxsi + doci-rules, ищу альтернативы. -- Best Regards, Nick Knutov ___ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
