[vpsFree.cz: community-list] brutoforce attack
René Klačan
rene.klacan at gmail.com
Mon Mar 30 02:29:18 CEST 2015
Ja som mal podobny problem, moje wordpressy rozposielali spam, tiez prienik
vdaka pluginom.
Vyriesil som to premigrovanim WP na heroku vdaka
https://github.com/mhoofman/wordpress-heroku ... malu instanciu mas zadarmo
a ta ti uplne postaci na normalnu navstevnost a tam sa ti viacmenej podobny
problem nemoze stat, lebo aj filesystem je readonly a uploadovanie filov si
nastavis cez AWS S3. Navyse po kazdom pushi je to akokeby nova instalacia,
len databaza pretrvava.
2015-03-30 1:20 GMT+01:00 Tomáš Filčák <filcak.t at gmail.com>:
> Tak sa mi nakoniec podarilo prist na koren utoku. Jedna sa o prienik do
> modulu Revslider na niekolkych Wordpress instalaciach… Tento hack je uz
> dlhsie znamy, skoda len ze som sa o tom dozvedel takto.
>
> Problemom je vsak ako sa k danej situacii postavit voci klientom, ktory si
> samozrejme za udrzbu a updaty modulov neplatia. Narusenie ich stranok ma
> stalo nemalo usilia a zaroven to zhodilo v podstate vsetky stranky ktore
> pod mojim web serverom bezia. Napada ma vytvorit pre kazdy takyto hosting
> vlastny sandbox a tym padom napadnuta stranka by neovplyvnila chod inych.
> Zaroven by klient bol nuteny poziadat o pomoc a ja by som mohol pracu s
> hladanym chyby fakturovat. Takto je to narocna uloha a neviem ako to riesit
> ani ci vobec nieco od klienta mam ziadat kedze vypadok zapricinila jeho
> stranka.
>
> Ako by ste sa k danemu problemu postavili vy? Dakujem za navrhy a
> odporucania
>
>
> On 29. Mar 2015, at 17:39, Pavel Snajdr <snajpa at snajpa.net> wrote:
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> On 03/29/2015 05:22 PM, Petr Parolek wrote:
>
> Ahoj,
>
> taky by mě zajímalo, jak se efektivně dají povolit pouze české IP
> adres.
>
>
> Nijak, neexistuje aktualni seznam. GeoIP DB je zastarala. Z BGP se
> vycist vsechno neda. Btw, doufam, ze to nikoho nenapadne cpat do
> iptables pravidlo po pravidlo, zpomali to totiz pruchod kazdeho paketu.
>
> /snajpa
>
>
> Petr Parolek
>
> Dne 29. března 2015 17:18 Ondřej Beránek <rainbof at gmail.com
> <mailto:rainbof at gmail.com <rainbof at gmail.com>>> napsal(a):
>
> K tem českým ip, jak toho dosahnes? Geoip nebo máš nějaký seznam
> range?
>
> Ondřej Beránek Původní zpráva Od: Jiří V. Odesláno: neděle, 29.
> března 2015 17:14 Komu: vpsFree.cz Community list Odpovědět:
> vpsFree.cz Community list Předmět: Re: [vpsFree.cz: community-list]
> brutoforce attack
>
> Ahoj, jestli tam máš nejaký mobilní kód zjistíš nejlépe pomocí
> netstat -a. Potom pokud nemáš nastav iptables jak na input, tak
> output, povol jen to co opravdu potřebuješ. Také se podívej na
> datum vytvoření souborů. Osobně se proti brute force chráním tak že
> po dobu útoku povolim připojování pouze z českých ip.
>
> s pozdravem Jiří V.
>
> Vaclav Dusek <Vaclav.Dusek at cz-pro.cz
> <mailto:Vaclav.Dusek at cz-pro.cz <Vaclav.Dusek at cz-pro.cz>>>napsal/a:
>
> apachetop -
> http://www.buben.piranhacz.cz/monitorovani-systemu-pomoci-apachetop/
>
>
>
>
> Dne 29.3.2015 v 14:42 Tomáš Filčák napsal(a):
>
> Jj logy postupne prechadzam vsetky. To FTP ma nenapadlo
> prezriem
>
> aj to ci tam nebol uploadnuty nejaky script.
>
>
> Neviete mi pripadne poradit ako by som mohol zistit, ktora
>
> stranka vytazuje server najviac? To by ma vedelo naviest k
> problemu a kedze tych stranok mam viac ako dost je to prilis
> pracne prechadzat jednu za druhou...
>
>
>
> On 29. Mar 2015, at 10:44, Peter Bubelíny <neri at neridev.com
>
> <mailto:neri at neridev.com <neri at neridev.com>>> wrote:
>
>
> Ahoj,
>
> pokiaľ to šablóna a pluginy umožňujú, a budú pracovať
> korektne, tak vytvoriť .htaccess v wp-content, wp-includes s
> obsahom:
>
> <FilesMatch "\.(php)$"> deny from all allow from localhost
> </FilesMatch>
>
> Neviem či to pomôže priamo v tom prípade, ale zabráni to
>
> spusteniu .php
>
> mimo localhost.
>
> Tak ako písal kolega, pozrieť logy, procesy... nezabudnúť ak
>
> používaš
>
> FTP, pozrieť, či nebol nejaký nepožadovaný upload, ešte je
> dobré
>
> pozrieť
>
> aké súbory boli naposledy modifikované či vytvorené, v
> prípade
>
> napr. že
>
> by web spamoval, či bežal nejaký iný proces, kt. preťažuje
> vps.
>
> pb.
>
>
> On 03/29/2015 06:35 AM, Vaclav Dusek wrote:
>
> Aktualizace WP a sablon Vymazata nepouzivane doplnky a
> templaty Nepouzivat doplnky a templaty z pochybnych zdroju
>
> ***
>
> Aktualizace OS a PHP
>
> ***
>
> pro deb - apt-get update; aptitude full-upgrade pro cent a
> spol. - yum update
>
> ***
>
> Z logu zjistit o ktera URL je podezrele vysoy zajem a
> hledat
>
> chybu tam
>
> nebo uz tam bezi nejake nezadouci procesy?
>
> ***
>
> proscanovat WWW data pomoci
> https://www.rfxn.com/projects/linux-malware-detect/
>
> ***
>
> Dne 28.3.2015 v 21:06 Tomáš Filčák napsal(a):
>
> Ahojte, posledne 2 dni riesim na mojej VPSke problem
> pravdepodobne s brutoforce attackom a potreboval by som
> poradit. Ako web
>
> server mam
>
> nainstalovany nginx. Spozoroval som, ze moje stranky sa v
> priebehu min. 2 dni zacali strane pomaly nacitavat a tak
> som sa pustil do analyzy logov, z ktorej som zistil, ze
> sa pravdepodobne jedna o bruteforce utok na wordpress
> weby ktore hostujem. Kedze v oblasti spravy servera nie
> som profesional stretol som sa s tym prvykrat a hned som
> proti tomu podnikol kroky. Nainstaloval som preto
>
> fail2ban a
>
> nakonfiguroval pre fungovanie s nginxom. Z logov vidim,
> ze
>
> niekolko ip
>
> adries bolo zabanovanych avsak problem pretrvava a moj
> web server odpoveda na requesty strasne pomaly. Pamat
> VPSky je vytazena
>
> niekedy
>
> nad 3GB momentalne 1GB. Prosim o radu. Ake dalsie kroky
> mam
>
> podniknut
>
> na obrany pripadne analyzu skod? Dakujem
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
>
> <mailto:Community-list at lists.vpsfree.cz <Community-list at lists.vpsfree.cz>>
>
> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz
>
> <mailto:Community-list at lists.vpsfree.cz <Community-list at lists.vpsfree.cz>>
>
> http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz <Community-list at lists.vpsfree.cz>>
>
> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz
> <mailto:Community-list at lists.vpsfree.cz <Community-list at lists.vpsfree.cz>>
>
> http://lists.vpsfree.cz/listinfo/community-list
>
>
>
>
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v2
>
> iF4EAREIAAYFAlUYHKcACgkQgRwOVqYrsFW64wEAk46AgWy7uuFULL+bcj+5PiX9
> c5mIdsaUaO3JBTXs+WcBAKUwGStMaBQFSDQuhurJCea8wkWIQLGsl4aliU2mgbli
> =H1Vq
> -----END PGP SIGNATURE-----
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
> S pozdravom,
> Ing. Tomáš Filčák
> +421 904 076 786
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20150330/dca0cc31/attachment-0002.html>
More information about the Community-list
mailing list