Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Друзья, внимание, массовый брутфорс админок. Примите меры.


Yoda

2 638 переглядів

Сегодня просто шквал обращений, лежит магазин, отключает хостер и так далее и влогах вот такая канитель:

 

image.thumb.png.bbc38f44ce2ec5640229c1d5579b87c9.png

 

Насколько я могу понимать и догадываться, где-то на форуме античат и ему подобным подвезли очередной кейс "как заработать", какой то судак написал скрипт, который через прокси массово брутфорсит админки опенкарта.

 

Так как при инициализации адимнского раздела, движок все равно делает сто пицот обращений в базу и поднимает php-потоки, получается приличная нагрузка на сервер.

Защитится - как два пальца об асфальт.

 

ПОЖАЛУЙСТА! СДЕЛАЙТЕ ЭТО СЕБЕ ВСЕ.

 

Вам прсото достаточно закрыть админку под htpass.
Если у вас апач  - инструкция здесь: https://htmlweb.ru/service/htpasswd.php

Если nginx здесь: https://docs.nginx.com/nginx/admin-guide/security-controls/configuring-http-basic-authentication/

Если у вас ISP панель, сделайте ограничение для папки админ. Инструкция здесь https://docs.ispsystem.ru/ispmanager6-lite/www-domeny-sajty/ogranichenie-dostupa-k-sajtu

 

UPD: вот такая идиллия восстановлена после суток лежачего магазина.

 

image.png.b791c5adf9ded73f7af4ae12ecca78ac.png

 

  • +1 11

22 коментаря


Recommended Comments

Подтверждаю, видел сегодня у нескольких клиентов. Плотность запросов такая, что сайты ложатся.

 

Также видел станное - у одного клиента админка была запаролена через .htaccess, но apache перенаправлял эти запросы корневому index.php. Сайт лег еще быстрее, естественно.

 

Добавьте в начало файлов index.php и admin/index.php строчку:

if (!empty($_POST) && @$_SERVER["REQUEST_URI"] == "/admin/") exit;

 

Выложил обновление Lightning с защитой от брутфорса админки и этой ситуации.

  • +1 1
Надіслати
В 25.01.2022 в 03:37, MaxD сказал:

Подтверждаю, видел сегодня у нескольких клиентов. Плотность запросов такая, что сайты ложатся.

 

Также видел станное - у одного клиента админка была запаролена через .htaccess, но apache перенаправлял эти запросы корневому index.php. Сайт лег еще быстрее, естественно.

 

Добавьте в начало файлов index.php и admin/index.php строчку:



if (!empty($_POST) && @$_SERVER["REQUEST_URI"] == "/admin/") exit;

 

Выложил обновление Lightning с защитой от брутфорса админки и этой ситуации.

 

Бредовая идея!
Так как пропуская за web сервер запрос на php, мы все равно инициализируем поток!

 

 

  • +1 1
Надіслати

По моему сегодня кто то не смотрит и не читает.....

 

Подобный вектор атаки с брутфорсом админки - он утилитарен тем, что его можно прикрыть средствами WEB сервера.

 

Сколько NGINX тратит ресурсов на установку коннекта и сброс коннекта по каким-либо правилам конфига?

Для тех кто в танке - почти нисколько. Одно ядро чахлого впс спокойно справляются с 5-7к запросов на фронт в секунду.

 

А сколько тратит php, а не дай бог еще богомерзкий Apache на поднятие потока, инициализацию движка, инициализацию коннекта в базу?
На два порядка больше ресурсов минимум.

 

Поэтому про все ваши методы защиты от брутфорса админки средствами php, можете рассказывать своим бабушкам.
Не вводите людей в заблуждение!

 

  • +1 1
Надіслати

а вот я через htaccess открыл доступ к /admin/ только с одного IP, остальным сервер 403 отдаёт, но нагрузка все равно осталось, почему?

Надіслати
7 часов назад, dreanei23 сказал:

а вот я через htaccess открыл доступ к /admin/ только с одного IP, остальным сервер 403 отдаёт, но нагрузка все равно осталось, почему?

 

Нужно смотреть лог, возможно вам не только админку брутят!

Надіслати
2 часа назад, Yoda сказал:

 

Нужно смотреть лог, возможно вам не только админку брутят!

 

не, только админкаimage.thumb.png.dcebb3285fed0eedcbce26349f0b0470.png

 

другое бы точно заметно было, также продолжают долбить, хоть и 403 и 404 ответы делал

Надіслати
3 минуты назад, dreanei23 сказал:

 

не, только админкаimage.thumb.png.dcebb3285fed0eedcbce26349f0b0470.png

 

другое бы точно заметно было, также продолжают долбить, хоть и 403 и 404 ответы делал

Так долбить и будут какое-то время.
Нагрузки это  не должно вызывать!

Надіслати
7 часов назад, dreanei23 сказал:

 

не, только админка

 

другое бы точно заметно было, также продолжают долбить, хоть и 403 и 404 ответы делал

Напишите сюда по поводу ip, что используют их услуги в целях взлома.

Также:

вместо того, чтобы блокировать все IP-адреса (диапазоны), я добавил в .htaccess следующее:

RewriteCond %{HTTP_USER_AGENT} «=Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0»
RewriteRule ^ – [F,L]

Надіслати
13 минут назад, buslikdrev сказал:

Напишите сюда по поводу ip, что используют их услуги в целях взлома.

Также:

вместо того, чтобы блокировать все IP-адреса (диапазоны), я добавил в .htaccess следующее:

RewriteCond %{HTTP_USER_AGENT} «=Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0»
RewriteRule ^ – [F,L]

 И ты тоже не далеко ушел от вышеотписавшихся.  :D
Я уже видел 3 варианта юзер агентов, и это еще атакующая сторона не поумнела, по факту там бы надо взять список на пару тыщ юзер агентов и херачить.
И твои приблуды до двери двери!

  • +1 1
Надіслати

два вопроса

речь касается о брутфорсе по конкретному адресу админки ? в том смысле если адрес не тот что будет тогда ?

и второе если ip адрес админки динамика то как отделить доступ в isp панели ?

 

yoda не начинай)

просто спросил)

Надіслати

я примерно об этом

ваш многоуважаемый хостер с ума сошел видимо

не пускает хозяев домой))

свет включили, выключили, IP поменялся и ты чужой

 Screenshot_3.jpg.9d768be72ec6d53afab615086e55d155.jpg

 

хорошо что я через удаленку владельца себя добавляю)

были и есть люди, которые общеизвестный форум ложили не спрашивая никого и нах им не нужен был доступ в админку))))) и брутфорсы какие то)

Надіслати

Опять же объясните дураку пжл

брутфорс это подбор пароля методом перебора - правильно ?

то есть какая нах разница будет стоять пароль на доступ или нет когда речь идет о попытках добиться ?

как 10000 запросов было так и будет

что был пароль что нет

лажа вроде, или что то не знаю

 

ну поставил я пароль и ху...ле?

не жарко ни холодно

что долбят то ? зачем? для чего ? что ищут ?

 

yoda ну я такой ты же знаешь

как ты 5 лет назад сказал " Городской сумасшедший"

Надіслати
2 минуты назад, Blade сказал:

если я поставил пароль в isp на admin 

и не поставил

 

долбились 5000 человек

поставил пароль

и ЧТО ?

какие же вы не далекие, пока будут брутить поднимется 5000 воркеров php, что в свою очередь создаст избыточную нагрузку на весь сервер (железку), если закрыть доступ для брута через веб сервер nginx/apache новый инстанс не поднимется, тем самым на уровне веб сервера мы обеспечиваем себя защитой от перегрузка (железки) освободив память и процессорное время для полезной нагрузки

  • +1 1
Надіслати
11 минут назад, stickpro сказал:

какие же вы не далекие, пока будут брутить поднимется 5000 воркеров php, что в свою очередь создаст избыточную нагрузку на весь сервер (железку), если закрыть доступ для брута через веб сервер nginx/apache новый инстанс не поднимется, тем самым на уровне веб сервера мы обеспечиваем себя защитой от перегрузка (железки) освободив память и процессорное время для полезной нагрузки

вот...

тут наверное согласен

я про это вообще то

"Если у вас ISP панель, сделайте ограничение для папки админ. Инструкция здесь https://docs.ispsystem.ru/ispmanager6-lite/www-domeny-sajty/ogranichenie-dostupa-k-sajtu"

 

опять же несколько вопросов

вы не savage4pro случаем ?

 

что значит пока будут брутить? ( в смысле что будут бурить конкретно ?)

 

5000 воркеров это пиз...ц или норма ? 

 

как сделать что б новый инстанс не поднялся ?

 

как мы на уровне веб сервера обеспечим безопасность если у нас насройки пхп и базы школьника ?

 

освободив память...а если ее стокль что хоть попой жуй ?

 

так же и процессорное время ?

 

 

ЧТО ДЕЛАТЬ БУДЕМ ?

Надіслати


user  apache;
worker_processes  auto;
worker_rlimit_nofile    65535;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;

events {
    worker_connections  16384;

 

 

Надіслати

Yoda ты классный чел, я тебя уважаю

в особенности savage4pro (жаль пропал) 

вашу связку с марком и несколькими товарищами еще 

 

давно было

 

но по делу

 

нах писать задолбят, задушат, пиз...ц вам

 

НАПИШИ

пацаны делайте так, например

тут 

worker_connections  100005000;;)

 

шутка если че

напиши что и как дилетантам

дети же

в ПАПЕ НУЖДАЕМСЯ)

 

вроде и сарказм

но блин знаю, нормальный же ты мужик

че ты так гнешь то всех?

кто дал ?

Надіслати
2 часа назад, Blade сказал:

 

5000 воркеров это пиз...ц или норма ? 

 

 

 Он имел веду что дергается весь сайт со всеми событиями подвязанными из-за особенностей пхп по цепочке. А если будут ломиться в предавторизацию в исп панели, то такого происходить не будет.

Надіслати

я от событфий вообще ......

"ломиться в предавторизацию в исп панели, то такого происходить не будет."

 

я знал одного человека...savage4pro помню, уважаю

 

 

а чего не будет?

куда не будет?

кем не будет ?

что не будет?

 

поподробнее можно?

может и я дебил отвечу 

 

Надіслати
8 часов назад, stickpro сказал:

какие же вы не далекие, пока будут брутить поднимется 5000 воркеров php, что в свою очередь создаст избыточную нагрузку на весь сервер (железку), если закрыть доступ для брута через веб сервер nginx/apache новый инстанс не поднимется, тем самым на уровне веб сервера мы обеспечиваем себя защитой от перегрузка (железки) освободив память и процессорное время для полезной нагрузки

Стик красава!

Надіслати

Ждем статью о взломе БД через шелы и прочие "дырочки" в опекарте... Йода тебя можно "читать" как открытую книгу, благо хоть догадался скрины выложить в этот раз ...

НО если по сути все верно написал - пшп не решает ни разу, поток положит сайт вне зависимости куда и как вы его перенаправите, бороться с потоком может только по средствам сервера.

Надіслати

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.