Друзья, внимание, массовый брутфорс админок. Примите меры.

Подтверждаю, видел сегодня у нескольких клиентов. Плотность запросов такая, что сайты ложатся.

Также видел станное - у одного клиента админка была запаролена через .htaccess, но apache перенаправлял эти запросы корневому index.php. Сайт лег еще быстрее, естественно.

Добавьте в начало файлов index.php и admin/index.php строчку:

if (!empty($_POST) && @$_SERVER["REQUEST_URI"] == "/admin/") exit;

Выложил обновление Lightning с защитой от брутфорса админки и этой ситуации.

В 25.01.2022 в 03:37, MaxD сказал:

Подтверждаю, видел сегодня у нескольких клиентов. Плотность запросов такая, что сайты ложатся.

 

Также видел станное - у одного клиента админка была запаролена через .htaccess, но apache перенаправлял эти запросы корневому index.php. Сайт лег еще быстрее, естественно.

 

Добавьте в начало файлов index.php и admin/index.php строчку:

if (!empty($_POST) && @$_SERVER["REQUEST_URI"] == "/admin/") exit;

 

Выложил обновление Lightning с защитой от брутфорса админки и этой ситуации.

Бредовая идея!
Так как пропуская за web сервер запрос на php, мы все равно инициализируем поток!

По моему сегодня кто то не смотрит и не читает.....

Подобный вектор атаки с брутфорсом админки - он утилитарен тем, что его можно прикрыть средствами WEB сервера.

Сколько NGINX тратит ресурсов на установку коннекта и сброс коннекта по каким-либо правилам конфига?

Для тех кто в танке - почти нисколько. Одно ядро чахлого впс спокойно справляются с 5-7к запросов на фронт в секунду.

А сколько тратит php, а не дай бог еще богомерзкий Apache на поднятие потока, инициализацию движка, инициализацию коннекта в базу?
На два порядка больше ресурсов минимум.

Поэтому про все ваши методы защиты от брутфорса админки средствами php, можете рассказывать своим бабушкам.
Не вводите людей в заблуждение!

а вот я через htaccess открыл доступ к /admin/ только с одного IP, остальным сервер 403 отдаёт, но нагрузка все равно осталось, почему?

7 часов назад, dreanei23 сказал:

а вот я через htaccess открыл доступ к /admin/ только с одного IP, остальным сервер 403 отдаёт, но нагрузка все равно осталось, почему?

Нужно смотреть лог, возможно вам не только админку брутят!

2 часа назад, Yoda сказал:

 

Нужно смотреть лог, возможно вам не только админку брутят!

не, только админка

другое бы точно заметно было, также продолжают долбить, хоть и 403 и 404 ответы делал

3 минуты назад, dreanei23 сказал:

 

не, только админка

 

другое бы точно заметно было, также продолжают долбить, хоть и 403 и 404 ответы делал

Так долбить и будут какое-то время.
Нагрузки это  не должно вызывать!

7 часов назад, dreanei23 сказал:

 

не, только админка

 

другое бы точно заметно было, также продолжают долбить, хоть и 403 и 404 ответы делал

Напишите сюда по поводу ip, что используют их услуги в целях взлома.

Также:

вместо того, чтобы блокировать все IP-адреса (диапазоны), я добавил в .htaccess следующее:

RewriteCond %{HTTP_USER_AGENT} «=Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0»
RewriteRule ^ – [F,L]

13 минут назад, buslikdrev сказал:

Напишите сюда по поводу ip, что используют их услуги в целях взлома.

Также:

вместо того, чтобы блокировать все IP-адреса (диапазоны), я добавил в .htaccess следующее:

RewriteCond %{HTTP_USER_AGENT} «=Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0»
RewriteRule ^ – [F,L]

 И ты тоже не далеко ушел от вышеотписавшихся.  
Я уже видел 3 варианта юзер агентов, и это еще атакующая сторона не поумнела, по факту там бы надо взять список на пару тыщ юзер агентов и херачить.
И твои приблуды до двери двери!

а все таки решается htpasswd

два вопроса

речь касается о брутфорсе по конкретному адресу админки ? в том смысле если адрес не тот что будет тогда ?

и второе если ip адрес админки динамика то как отделить доступ в isp панели ?

yoda не начинай)

просто спросил)

я примерно об этом

ваш многоуважаемый хостер с ума сошел видимо

не пускает хозяев домой))

свет включили, выключили, IP поменялся и ты чужой

хорошо что я через удаленку владельца себя добавляю)

были и есть люди, которые общеизвестный форум ложили не спрашивая никого и нах им не нужен был доступ в админку))))) и брутфорсы какие то)

Опять же объясните дураку пжл

брутфорс это подбор пароля методом перебора - правильно ?

то есть какая нах разница будет стоять пароль на доступ или нет когда речь идет о попытках добиться ?

как 10000 запросов было так и будет

что был пароль что нет

лажа вроде, или что то не знаю

ну поставил я пароль и ху...ле?

не жарко ни холодно

что долбят то ? зачем? для чего ? что ищут ?

yoda ну я такой ты же знаешь

как ты 5 лет назад сказал " Городской сумасшедший"

если я поставил пароль в isp на admin 

и не поставил

долбились 5000 человек

поставил пароль

и ЧТО ?

2 минуты назад, Blade сказал:

если я поставил пароль в isp на admin 

и не поставил

 

долбились 5000 человек

поставил пароль

и ЧТО ?

какие же вы не далекие, пока будут брутить поднимется 5000 воркеров php, что в свою очередь создаст избыточную нагрузку на весь сервер (железку), если закрыть доступ для брута через веб сервер nginx/apache новый инстанс не поднимется, тем самым на уровне веб сервера мы обеспечиваем себя защитой от перегрузка (железки) освободив память и процессорное время для полезной нагрузки

11 минут назад, stickpro сказал:

какие же вы не далекие, пока будут брутить поднимется 5000 воркеров php, что в свою очередь создаст избыточную нагрузку на весь сервер (железку), если закрыть доступ для брута через веб сервер nginx/apache новый инстанс не поднимется, тем самым на уровне веб сервера мы обеспечиваем себя защитой от перегрузка (железки) освободив память и процессорное время для полезной нагрузки

вот...

тут наверное согласен

я про это вообще то

"Если у вас ISP панель, сделайте ограничение для папки админ. Инструкция здесь https://docs.ispsystem.ru/ispmanager6-lite/www-domeny-sajty/ogranichenie-dostupa-k-sajtu"

опять же несколько вопросов

вы не savage4pro случаем ?

что значит пока будут брутить? ( в смысле что будут бурить конкретно ?)

5000 воркеров это пиз...ц или норма ? 

как сделать что б новый инстанс не поднялся ?

как мы на уровне веб сервера обеспечим безопасность если у нас насройки пхп и базы школьника ?

освободив память...а если ее стокль что хоть попой жуй ?

так же и процессорное время ?

ЧТО ДЕЛАТЬ БУДЕМ ?

user  apache;
worker_processes  auto;
worker_rlimit_nofile    65535;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

events {
    worker_connections  16384;

Yoda ты классный чел, я тебя уважаю

в особенности savage4pro (жаль пропал) 

вашу связку с марком и несколькими товарищами еще 

давно было

но по делу

нах писать задолбят, задушат, пиз...ц вам

НАПИШИ

пацаны делайте так, например

тут 

worker_connections  100005000;

шутка если че

напиши что и как дилетантам

дети же

в ПАПЕ НУЖДАЕМСЯ)

вроде и сарказм

но блин знаю, нормальный же ты мужик

че ты так гнешь то всех?

кто дал ?

2 часа назад, Blade сказал:

 

5000 воркеров это пиз...ц или норма ? 

 

 Он имел веду что дергается весь сайт со всеми событиями подвязанными из-за особенностей пхп по цепочке. А если будут ломиться в предавторизацию в исп панели, то такого происходить не будет.

я от событфий вообще ......

"ломиться в предавторизацию в исп панели, то такого происходить не будет."

я знал одного человека...savage4pro помню, уважаю

а чего не будет?

куда не будет?

кем не будет ?

что не будет?

поподробнее можно?

может и я дебил отвечу 

8 часов назад, stickpro сказал:

какие же вы не далекие, пока будут брутить поднимется 5000 воркеров php, что в свою очередь создаст избыточную нагрузку на весь сервер (железку), если закрыть доступ для брута через веб сервер nginx/apache новый инстанс не поднимется, тем самым на уровне веб сервера мы обеспечиваем себя защитой от перегрузка (железки) освободив память и процессорное время для полезной нагрузки

Стик красава!

Ждем статью о взломе БД через шелы и прочие "дырочки" в опекарте... Йода тебя можно "читать" как открытую книгу, благо хоть догадался скрины выложить в этот раз ...

НО если по сути все верно написал - пшп не решает ни разу, поток положит сайт вне зависимости куда и как вы его перенаправите, бороться с потоком может только по средствам сервера.