Защита WordPress от случайного DDoS при брутфорсе. Wordpress защита от ddos


Защита WordPress от DDos атаки | Ай Пи Мани

Защита WordPress от DDos атаки

21 августа сего года блог Ай Пи Мани был временно не доступен. Точнее он был заблокирован почти на сутки.

Приношу всем свои извинения. Одновременно хочу поблагодарить суппорт своего хостера за оперативную помощь.

Причина блокировки сервера для меня очень необычная — DDos-атака. Раньше я с такой напастью еще не сталкивался.

Что это такое? Как я сам понял от добрых людей DDoS-атака — распределенная атака типа отказ в обслуживании (DDoS — Distributed Denial of Service). Смысл такой атаки в том, что хакеры одновременно (и довольно продолжительное время) обращаются к серверу с огромного количества разных ip-адресов. Сервер не справляется с такой нагрузкой и блокируется.

В общем, как мне сказали, защититься от DDos-атаки практически не возможно, потому что сервер не может определить какие ip-запросы нужно отсеять.

Атака производилась на файл WordPress wp-cron.php, который лежит в корне блога.

Этот файл нужен для публикации постов с отсрочкой. Например: вы написали пару статей, поставили дату публикации на будущее число и отправились в отпуск, а посты будут автоматически публиковаться по расписанию. Очень удобно.

Так вот. Оказывается, если не пользоваться отсроченной публикацией, то специальное обращение к этому файлу (типа //ваш_блог/wp-cron.php?check=46cbe1674da1d2888104482d6ed4f87f) активирует на сервере неиспользуемые скрипты, которые сами не завершаются и только накапливаются в памяти потребляя все больше системных ресурсов сервера.

Однако, чтобы скрипт запустился нужно знать значение хэша после параметра check. Оно зависит от числа, которое стоит в строке

if ( $_GET['check'] != wp_hash('187425') )

файла wp-cron.php

Вот тут и скрывается жестокий подвох. 🙁 По-умолчанию, во всех вордпрессах это число 187425! Таким образом, организовать атаку любой блог с движком WordPress не так уж и сложно.

Защититься легко — измените число по-умолчанию на любое другое свое.

На мой сервер было произведено более 25 запросов в секунду. Как долго продолжалась атака не знаю, т.к. сервер «встал» и статистику не записывал. После перезагрузки сервера атака повторялась снова и снова…

Честно говоря, я и не догадался бы, что сервер перегружался спланировано, если бы не получил письмо на почту с обоснованием этой операции (после восстановления работоспособности сервера естественно). О чем просили писать не стану. Скажу только, что обещали повторить атаку, если не соглашусь с их условиями. Чем именно заинтересовал их мой блог мне мало понятно. В любом случае — посмотрим.

На сколько мне известно, DDos-атака довольно дорогостоящее удовольствие. Поэтому, вряд ли стоит ждать повтора. Да и приняты уже некоторые меры по защите (не только описанные в этой статье).

Рекомендую всем блоггерам позаботиться о защите своих проектов.

ipmoney.info

12 сервисов для защиты от DDoS-атак / Хабр

image

По статистике, около 33% компаний попадают под DDoS-атаки. Предсказать атаку невозможно, а некоторые из них могут быть действительно мощными и достигать 300-500 Гб/с. Для того чтобы обезопасить себя от DDoS-атак можно воспользоваться услугами специализированных сервисов. Не все владельцы сайтов знают, куда бежать, если попал под атаку — так что я решил собрать несколько вариантов в одном топике.

Примечание: при подготовке к посту использовались англоязычные материалы и публикации на Хабре

Cloudflare

Один из самых известных защитных сервисов. При использовании тарифов FREE и PRO можно рассчитывать на базовую защиту от DDoS-атак. Для более надёжной защиты от атак уровней 3, 4 и 7 нужно подключить бизнес или корпоративный аккаунт.

В Cloudflare фиксированная оплата, то есть независимо от того сколько и каких уровней будут атаки, клиент платит одну и ту же сумму. Среди клиентов этого сервиса такие крупные компании, как Nasdaq, DigitalOcean, Cisco, Salesforce и Udacity.

Сеть Cloudflare представлена в 102 датацентрах с пропускной способностью более 10 Тбит/с и способна устранять любые атаки, а также отражать DNS и Smurf-атаки. У сервиса также есть круглосуточная служба экстренной помощи, куда можно обратиться во время атаки.

Incapsula

Этот сервис предлагает комплексную защиту от атак различных типов. Сервис может работать постоянно или по запросу и обнаруживать любые атаки. Сеть Incapsula состоит из 32 дата-центров с пропускной способностью в 3 Тбит/с. У Incapsula есть пробная версия для бизнеса c SSL протоколом, CDN и WAF, которая защитит от DDoS-атак.

На случай, если атака уже совершена и счёт идёт на минуты, можно воспользоваться сервисом экстренной помощи Under Attaсk.

Akamai

Этот сервис один из лидеров в сфере обеспечения безопасности и CDN. По заявоениям руководства Akamai, сервис может справиться с атакой в 1,3 терабита в секунду.

Этот сервис построен на интеллектуальной платформе Akamai и оказывает поддержку круглосуточно. Защитить сайты можно от всех известных атак, включая зашифрованный трафик. У Akamai 1300 сетевых адресов более чем в 100 странах.

Qrator

Один из наиболее известных российских ресурсов по борьбе с DDoS, ведет блог на Хабре. Особенностью работы системы является «прозрачность» для легитимных пользователей — их она выявляется с помощью алгоритмов умной фильтрации, не заставляя вводить капчу или другим образом подтверждать свою «легитимность».

Кроме того, даже при необходимости отражения атаки на уровне приложений (7 уровень модели OSI) не требуется тонкой настройки продукта — при обнаружении атаки система перейдет в нужный режим автоматически.

Для подключения защиты Qrator нужно изменить A-запись сайта. К недостаткам можно отнести достаточно высокую стоимость использования продукта, но компания предоставляет SLA (если уровень услуги не обеспечен, платить не обязательно) и бесплатный тестовый период в семь суток.

AWS Shield Advanced

Сервис Shield предназначен для защиты приложений, работающих на платформе AWS. Он бесплатный, однако, для продвинутой защиты стоит перейти на тариф Shield Advanced. В продвинутую версию добавлена проверка сетевого потока и мониторинг трафика прикладного уровня, защита от большего количества атак, блокировка нежелательного трафика, анализ после атаки и круглосуточное время работы.

Все эти службы защиты от DDoS-атак предназначены для блоггеров, электронной коммерции, малого и среднего бизнеса. Для бизнеса более крупных масштабов существуют другие сервисы, с более высоким уровнем защиты и большим функционалом. Вот некоторые из них: Сети ARBOR, Neustar, Rackspace, Akamai, F5 Silverline и Radware.

King Servers Anti DDoS

Еще один российский проект со своим блогом на Хабре. Поскольку King Servers — это хостинг-провайдер, то и защитный инструмент компании «заточен» под нужды пользователей хостинга. Защита предоставляется в двух вариантах — при аренде оборудования в определенном дата-центре оно сразу попадает в зону фильтрации (защищенный хостинг). Если площадка в этой зоне по каким-то причинам не подходит, остается вариант удаленной защиты, при которой размещать оборудование в дата-центре компании не нужно.

Компания дает гарантию безопасности от SYN Flood, UDP/ICMP Flood, HTTP/HTTPS-атак, фильтрацию грязного трафика до 1 ТБит/с — чистый трафик выделяется и направляется на сайт пользователя. Пользователям не нужно самим заниматься настройками, эту задачу берет на себя круглосуточная служба поддержки, которая отрабатывает и заявки на кастомизацию сервиса.

BeeThink Anti-DDoS Guardian

Этот инструмент защищает серверы Windows от большинства DoS и DDoS-атак: SYN, IP flood, TCP flood, UDP flood, ICMP flood, HTTP-DDoS, атак 7 уровня и многих других.

Сервис BeeThink совместим с Windows 10, Windows 8, Windows 7, Windows 2016, Windows 2012, Windows 2008, Windows 2003, Windows 2000, Windows XP и Vista.

Помимо защиты от DDoS-атак сервис в режиме реального времени проводит мониторинг сетевых операций, поддерживает разные форматы IP-адресов, поддерживает black и white листы, ищет удалённые IP-адреса и информацию о их владельцах. Базовый тариф стоит $99,95.

Sucuri

Этот сервис предоставляет защиту для любых сайтов: WordPress, Joomla, Drupal, Magento, Microsoft.Net и других.

Sucuri предоставляет антивирус и межсетевой экран для сайтов, в которые включена защита от DDoS. Также сервис обнаруживает и удаляет вредоносные программы, повышает производительность сайтов, защищает от брутфорс-атак и защищает от ботов. Минимальная стоимость месячного тарифа — $19,88.

Cloudbric

Этот инструмент работает с сайтами на всех платформах. Он очень удобен в использовании, имеет интуитивно понятный интерфейс, а его настройки занимают три минуты — нужно просто изменить настройки DNS. Информация об уровне защиты отображается на рабочей панели, что позволяет быстро выявить и устранить угрозу.

Разработчики гарантируют защиту от всех кибератак. Среди клиентов сервиса такие крупные компании, как Samsung, ING и eBay.

Стоимость использования зависит от объёма трафика, так за 10 Гб придётся заплатить $29, а за 100 Гб $149. Если объём трафика не превышает 4 Гб, сервисом можно пользоваться бесплатно.

Alibaba Anti-DDoS

Сервис китайского гиганта интернет-коммерции поможет справиться с атаками до 2 Тбит/с и поддерживает все протоколы: TCP, UDP, HTTP, HTTPS.

Сервис можно использовать не только для защиты сайтов, расположенных на хостинге Alibaba, но и размещённых на AWS, Azure, Google Cloud и других.

Также Anti-DDos Pro работает круглосуточно и в случае проблем, можно обратиться в службу поддержки к экспертам по безопасности.

StormWall Pro

Этот инструмент защищает от любых уровней DDoS-атак и поддерживает сайты на платформах Drupal, Joomla, WordPress, Bitrix, Magento, PrestaShop и других CMS.

Датацентры StormWall расположены в США, России и Европе и работают с минимальной задержкой. Настройка системы займёт всего несколько минут, а в случае трудностей, это могут сделать менеджеры компании. Любая техническая проблема, которая может возникнуть в течение работы, будет решена в короткие сроки — ответа техподдержки придётся ждать не дольше 15 минут.

Стоимость использования сервиса зависит от количества посетителей сайта. Так, за $69 можно обеспечить защиту сайта с 5000 посетителей в месяц, а за $300 купить безлимит.

Myra

Сервис Myra DDoS полностью автоматизирован и предназначен для защиты сайта, DNS-серверов и веб-приложений. Система подходит для всех типов CMS и интернет-магазинов.

Штаб-квартира Myra расположена в Германии, поэтому все данные обрабатываются согласно законом о конфиденциальности этой страны.

Предлагаю собрать в комментариях более полный список полезных инструментов по защите от DDoS. Какие сервисы знаете вы?

habr.com

100% защита от DDoS-атак ЛЮБОЙ мощности от 2900 руб/мес

Защита от DDoSатак любой мощности,типов и длительности

Поддержка 24/7/365 Фиксированные тарифыОтсутствие скрытых платежей

10 лет на рынке15'000 защищённых проектов250'000 отражённых атак

DDoSExpert готов отразить атаки до 1000 Gbps / 1500 Mpps Подключение занимает считанные минуты, а отражение атаки занимает в среднем 2,5 минуты Мы защищаем от всех типов атак, в том числе тех, которые действуют по UDP/ICMP-протоколам, SYN/ACK, DNS/NTP-amplification и 7-го уровня OSI

Получите письмо с инструкциями

Обновите А-записи домена

Всё! Вы под защитой!

"Честные" запросы пользователей смешиваются с запросами ботов

Все вместе они поступают на сервера геораспределённой системы защиты, где трафик анализируется и нелегитимные запросы отсеиваются

На Ваш сервер поступает очищенный трафик

ddosexpert.com

Защита Wordpress от случайного DDoS при брутфорсе

В эти выходные на VPS одного из клиентов был зафиксирован скачок нагрузки. VPS надо сказать приличный, а именно — 8 ядер и около 1 Гб ОЗУ. После сигнала мы проверили расходуемые ресурсы и обнаружили, что все 8 ядер забиты на 100% процессами mysql-server.

Было решено провести анализ ситуации, подключив сервер к нашей системе мониторинга на базе nagios. Результаты получились весьма интересными и я предлагаю рассмотреть их «по горячим следам», думаю, что такие ситуации не единичны и многим читателям информация будет полезной.

В течении выходных фиксировался еще один всплеск нагрузки. Следующий был буквально сегодня, в середине дня. Получив достаточно данных для того, чтобы не просто проанализировать, а найти систему в этих явлениях, мы занялись изучением логов. Далеко копать не пришлось, все стало очевидно довольно быстро — причиной скачков нагрузки оказался DDoS. Но не нацеленный, а, скорее, случайный.

Клиент использует для работы сайтов CMS WordPress. Ни для кого не секрет, что в последние месяцы на данную систему довольно часто «нападают» ботнеты с одной лишь целью — брутфорс пароля администратора. Именно свидетельства такого брутфорса мы и обнаружили, изучив логи. Сотни запросов к всем известному файлу — wp-login.php. Взломать сайт злоумышленникам так и не удалось, зато они непроизвольно провели весьма неплохую DDoS-атаку. Как так вышло? Все просто. Бесконечные запросы страницы и попытки авторизации с разных ip-адресов вызвали высокую нагрузку на базу данных. В результате на используемом клиентом VPS были забиты все ядра, а load average колебался в пределах 20-25.

Что же делать в такой ситуации? Атака не направленная, а скорее «случайная». Ботнет определил, что используется WordPress и начал ломиться по известному адресу, тут заговором и не пахнет. Просто ресурс повернулся под руку.

Задача в такой ситуации — максимально быстро устранить причину потока запросов в базу. В нашем случае этой причиной был файл авторизации. Естественно, устранить — не значит удалить. Для начала достаточно просто перекрыть к нему доступ для ботов. Делается это довольно просто, по средствам файла .htaccess. Лежать он должен в директории, где находится закрываемый файл. Пишем  в нем следующее:

<Files wp-login.php> order deny,allow deny from all allow from ip_address </Files>

<Files wp-login.php>

order deny,allow

deny from all

allow from ip_address

</Files>

Тут все довольно просто. Мы указываем, что наши правила доступа активны только для файла wp-login.php. После этого сообщаем серверу, что доступ к файлу запрещен всем, кому явно не разрешен. И в конце вставляем свой ip_address, что разрешает доступ нам самим.

Это один из самых простых вариантов. Есть еще один, его можно использовать постоянно и от ip зависимости не будет. Мы сделаем доступ к файлу авторизации по дополнительному паролю. Опять же воспользуемся файлом .htaccess, это значит, что управлять доступом у нас будет сам apache. Что это дает? Это убирает все запросы в базу. Не введя «первичный» пароль, страница просто не открывается.

AuthType basic AuthName 'Enter your password, please.' AuthUserFile '/home/catalog/.htpasswd' <Files wp-login.php> Require valid-user </Files>

AuthType basic

AuthName 'Enter your password, please.'

AuthUserFile '/home/catalog/.htpasswd'

<Files wp-login.php>

Require valid-user

</Files>

Итак, разбор полета. Первой строкой мы говорим веб-серверу, что намерены использовать его возможности авторизации. Далее вводим сообщение, которое будет выдаваться пользователю вместе с окном запроса логина/пароля. Далее мы указываем полный путь к файлу с необходимыми логинами и паролями. И после этого определяем правило для файла, говоря, что доступ к wp-login.php смогут получить только прошедшие авторизацию пользователи.

Создать файл с логинами/паролями просто. Для этого нам понадобится доступ по ssh. Входим на сервер и выполняем команды:

~$ htpasswd -c /home/catalog/.htpasswd #создаем новый файл, указав его место расположения ~$ htpasswd /home/catalog/.htpasswd admin # добавляем туда администратора

~$ htpasswd -c /home/catalog/.htpasswd #создаем новый файл, указав его место расположения

~$ htpasswd /home/catalog/.htpasswd admin # добавляем туда администратора

После последней команды у ваc запросят пароль администратора, два раза. Дальнейшее добавление пользователей производится по аналогии с admin. Пароли хранятся в файле в зашифрованном виде.

Вот такие вот простые варианты, которые помогут в ситуации «нечаянного» DDoS, да и вообще снизят риск успешного брутфорса. Конечно есть и более экзотические варианты, например переименование wp-login.php или директории wp-admin. Но они будут вызывать некоторый дискомфорт каждый раз, когда прилетит очередное обновление движка.

geeks.by


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта