Массовая атака на сайты, работающие на CMS WordPress и Joomla
Последние 2 суток идёт глобальная атака на сайты работающие на WordPress и Joomla. Целью атаки является подбор паролей от административных частей сайтов. При атаках наблюдается падение серверов из-за многочисленных запросов. Сегодня я это ощутил на своих сайтах.)
Сегодня наблюдалось падение всех моих сайтов. Сайты работали ужасно медлено или совсем не открывались. При обращении в службу поддержки выяснилось, что на сайты идёт нечто очень похожее на DDoS. Шёл перебор паролей к админ-панели водпрессов. Перебор паролей носил характер DDoSа, так как осуществлялся многопоточно и с разных IP адресов.
До обнаружения проблемы, я получал письмо от другого своего хостера, где также говорилось о DDoS атаке на их сервера. Смысл такой же, подбор паролей к админкам сайта. В основном, атака направлена на бесплатные CMS, преимущественно на WordPress и Joomla. Поговорил с знакомыми и выяснилось, что у некоторых также наблюдалось падение сайтов на WordPress’е.
Для вордпресса запросы идут к скрипту wp-login.php. Наиболее простой, но наверно не совсем правильный вариант решения, отключить скрипт авторизации. Это можно сделать добавив в начало «wp-login.php» строку
exit();
Авторизация при этом работать не будет.
Ещё, чтобы обезопасить сайты от взлома, выбирайте логин отличный от стандартных «admin» и «administrator». Выбирайте надёжный пароль: набор из 20-30 букв в разном регистре, цифр и символов.
Дополнительно хостинг компании рекомендуют
Рекомендации от FastVPS
Для безопасности и стабилизации работы сервера, как один из самых простых и эффективных вариантов, нужно установить http авторизацию на админ-панель Вашего сайта, следуя простой инструкции:
1)Создать файл с названием «.htpasswd» в корне сайта и при помощи сайта http://www.htaccesstools.com/htpasswd-generator/ сгенерировать его содержание, указав желаемый логин и пароль.
2)Для Joomla в файл «.htaccess» в папке /administrator/ добавить следующие строки:
AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-userДля WordPress в файл «.htaccess» в корне сайта добавить следующие строки:
AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
где «полный_путь_до_корня_сайта» — это абсолютный путь от корня файловой системы.Например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd
3)Проверить работу данной конструкции, попробовав зайти в админ-панель сайта.
У меня почему-то способ не сработал.
Рекомендации от BH Group Co. Ltd.
Рекомендуем Вам максимально защитить административные части своих CMS, а именно — установить пароль на папку административной части, установить в .htaccess ограничения доступа по IP, сменить имя пользователя admin на любое другое, сменить пароль на максимально сложный и не словарный.
Если наблюдаете проблемы в работе своих сайтов, обращайтесь в тех. поддержку своего хостера.
А вот и первые последствия
Атаки продолжаются…
Вот ещё пару методов защиты, не проверял.
Wordpress — http://forum.searchengines.ru/showpost.php?p=12014848&postcount=181
Joomla — http://e-kzn.ru/joomla/dostup-i-bezopasnost/zashchita-adminki-joomla.html
Три дня сплошной муки с этим делом. Итог — хостер завис и панель администрирования хостингом не открывается. Упал 1 сайт из 20, 19 из готорых успел защитить. Жду окончания атаки, потому как добраться до панели администрирования хостинга не могу. Висим. Хостер FirstVDS — единственный на котором упал сайт, отвечают на вопросы поддержки исключительно «на утро» и исключительно «у нас все стабилизировалось». Хер там. Службы вылетают одна за одной. По этой причине съезжаю с него срочно.
ihc тоже вчера падал из-за ддоса
Вот ещё на серче тема с обсуждением проблемы, советами http://forum.searchengines.ru/showthread.php?t=805626
Спасибо огромное за информацию!
Зашел к себе в админку, вернее попытался, — ошибка 503! Оказывается, хостинг отключил ее во время брутфорс атаки (как мне сказали, была эта: http://www.securelist.com/ru/blog/207764612/Platforma_WordPress_podverglas_masshtabnoy_brut_fors_atake, на взломанные сайты внедряется бекдор).
Способ защиты: http://mchost.ru/help/47/#h375