Comments 42
скрипт для админки? Basic auth спасет
Зачем? Перепишите путь к папке админа и всё. Это вообще первое, что надо делать после установки WP.
После basic auth у вас на фронтенде вылезут окошки с просьбой ввести пароль, потому что аякс делает туда запросы.
а браузер не запомнит заголовок авторизации для последующих запросов?
Сразу после установки WP надо изменить путь к wp-admin. Это первая строчка в азбуке по WP.
Это первая строчка в азбуке по WP.я так полагаю и пруф есть на азбуку? Прямо так на чистом британском называется с большой буквы «Азбука» наверное.
Выше написали
Хотя если в ссылках есть что-то типа "/xxxxxxxxxxx", то не поможет. Наверное, это и подразумевалось под «захардкорено»?
потому что не надо раздавать советы патчить вендорные библиотеки если особенно в этом не разбираешься, тем более параллельно выдумывать источники где это рекомендуется.
Basic auth тоже не спасет потому что вот допустим закрыл я им доступ к каталогу /wp-admin/ и сразу же поломаются все ajax запросы на сайте ибо для них точкой входа служит
/wp-admin/admin-ajax.php и самое прекрасное что будучи админом послушав такого ценного совета я скорее всего пароль сразу введу и сайт только для пользователей поломается, админ будучи авторизованным и не заметит, можно конечно все понять правильно и закрыть доступ ко всем файлам за исключением admin-ajax.php но это тоже не серебряная пуля ибо все равно есть предпосылки для возможных проблем и вводить два пароля минимум ниже человеческого достоинства. Надеюсь в Cloud4Y так не сделано.И я бы еще понял если бы такие советы давали в кометах на фейсбуке или вконтаче но никак не на хабре при этом многие комменты заплюсовали, единственное нормальное решение которое бы стоило бы упомянуть это настроить fail2ban никто не вспомнил, хотя настроить его чуть ли не проще чем Basic auth прикрутить и он точно спасет от ддоса одной машиной, cloudflare тоже никто не догадался посоветовать )) В качестве совета, если вдруг кается что в интернете ты умнее всех со своим костыльными решениями то сходи в места где общаются профессионалы в этой конкретной области будь то сисадмины или разработчики не важно и это быстро пройдет
Согласен с Вами, я лично только доступ по параметру делаю в админку для авторизации, не закрывая все эти файлы. Кстати там выложили вроде как решение которое правит файлы wp для устранения уязвимости, Вы пробовали это? Я пока думаю как это решить, но планировал прикрывать на уровне сервера, а тут увидел в конце статьи ссылочку на исправление.
ну баш то башем )) на уровне сервера все же лучше решать такие проблемы, сделал и забыл )) каждый раз когда прилетело обновление баш дергать что-ли
Да я как бы сам такого мнения), я вообще серверщик, не программер). Так решил уточнить, может у Вас будет другое мнение. Вдруг конкретно эти файлы к примеру очень редко подвержены обновлениям.
Ну так CDN самое простое решение в лоб cloudflare там какой нибудь, наверняка может закешировать ответ и от одной машины точно сайт не ляжет)) а так уже за те пару дней что я пишу эти комменты wordpress дважды выпустил обновления, будь я администратором пары десятков сайтов, уже бы замучился проверять не сломалось ли чего
Мне кажется, больше 50% сайтов в интернете можно положить просто запросами с одного компьютера…
Вообще, есть сейчас довольно забавная проблема, когда существует очень много сервисов, которые скачивают файлы по ссылкам, делают превью, разные документы и тому подобное. Если правильно применять эти сервисы, то можно запрашивать файлы с атакуемого сервера с очень большой скоростью и загружать несколько CPU. Мой рекорд на тестовом сервере — 2.5 гигабит в секунду. После исправлений по Bug Bounty собираюсь опубликовать детали, хотя сама идея известная и довольно простая.
Таблицы Гугл тоже так умеют.
Пишем в ячейку
SomeSite.ru?v=1
Протягиваем вниз, что бы получилось
SomeSite.ru?v=2
SomeSite.ru?v=3
SomeSite.ru?v=n
И вуаля, сервера гугл ддосят сайт.
Чисто гипотетически.
Пишем в ячейку
SomeSite.ru?v=1
Протягиваем вниз, что бы получилось
SomeSite.ru?v=2
SomeSite.ru?v=3
SomeSite.ru?v=n
И вуаля, сервера гугл ддосят сайт.
Чисто гипотетически.
Да, примерно так и есть. Сейчас есть список из 50+ разных крупных сервисов, которые позволяют сделать нечто подобное.
Огласите весь список, пожалуйста
Подожду исправления или ответа от компаний, что не считают это проблемой, тогда уже напишу статью.
Ok. Но вообще такой трафик же легко отсечь. Например, с google-таблиц приходит
«Mozilla/5.0 (compatible) Feedfetcher-Google; (+http://www.google.com/feedfetcher.html)»Прогнал около 50000 запросов — основных айпишников с которых идут запросы 3-4.
В целом да, это не универсальное средство. Опасно для небольших сайтов с ограничениями на ресурсы, так как позволяет легко загонять их в блокировку, сервисов со слабыми админами и для маскировки, если кто-то выполняет платные для хостинга запросы, вроде отправки СМС. Сейчас такая ситуация, что злоумышленнику для того, чтобы сгенерировать несколько гигабит трафика, не нужно ничего, кроме браузера и чего-то вроде Charles.
Я думаю что треть сайтов можно и не на вордпресе положить, просто дергая самые долгие запросы в параллель.
К примеру домашнюю страницу с рандомной частью в урле.
И еще какой-то процент сайтов будет больше денег списывать за хостинг
На одном из проектов делали нагрузочное тестирование в 500 потоков с одной виртулаки
Время ответов вырастало с секунд до десятков секунд. А ждать 20-30 секунд ответа от сайта будет на порядок меньше людей
Причем на 5хх может быть нотификация у админа
А на падении аудитории с дневных 1000 человек на ночные 100 в середине рабочего дня далеко не у всех админов
Да и отдел продаж, к примеру, инет магазина далеко не сразу начнет волноваться
Общее положение с безопасностью очень грустное
К примеру домашнюю страницу с рандомной частью в урле.
И еще какой-то процент сайтов будет больше денег списывать за хостинг
На одном из проектов делали нагрузочное тестирование в 500 потоков с одной виртулаки
Время ответов вырастало с секунд до десятков секунд. А ждать 20-30 секунд ответа от сайта будет на порядок меньше людей
Причем на 5хх может быть нотификация у админа
А на падении аудитории с дневных 1000 человек на ночные 100 в середине рабочего дня далеко не у всех админов
Да и отдел продаж, к примеру, инет магазина далеко не сразу начнет волноваться
Общее положение с безопасностью очень грустное
А вторая половина движки вообще не обновляет как были подняты на версии WP-4.0
так и все ок
так и все ок
Главное открестится от всего и сказать, что это должно решатся на сетевом уровне или на уровне сервера
Гм… а результат этой сборки не кэшируется разве после первого запроса?
подозреваю, кэш можно будет обойти поменяв порядок имен файлов в ссылке, даже если он реализован.
Сколько перестановок у 181 имён файлов? :)
Я тоже об этом в первую очередь подумал, но не смог сходу придумать варианта, когда одни и те же js файлы должны подключаться в разном порядке на разных страницах. Так что при составлении ключа кэша названия вполне можно отсортировать.
Даже если сочетать за раз, например, 170 из 181 возможных, без повторений, и считать одинаковыми те, где меняется только порядок, это все равно огромное число.
Можно, только нужно учитывать, что порядок имен может иметь значение (например наличие зависимостей), поэтому это может быть вредным — составление хэш-ключа по отсортированному списку.
Как раз думаю как сделать броньку для своих серверов по анализу входящих логов, т.е. если «пассажир» пришел не по стандартному маршруту или идет перебор левых путей, то вышеозначенный «пассажир» добавляется в список для редиректа ошибку 503 или еще куда, если хочет повалить сервер путь думает что сделал. Правда есть много камней, которые я еще не увидел. База с адресами для нескольких серверов одна. Анализ интенсивности нападок, а тем более нападок на несколько своих серверов будет приводить к длительному отлучению от своих ресурсов. Основной косяк, который я пока вижу — медленная реакция на нападку, но думаю и это тоже решится. Может кто предложит что по-лучше?
Думали о некой «бомбе» против таких сайтов. Сайт А размещает на своих страницах JS код или ещё что-то (генерация запросов с помощью картинок, стилей, скриптов), что вызывает кучу подозрительной активности на сайте конкурента — пользователь банится на сайте конкурента/конкурентов. Если пытается пойти к конкурентам, то видит ошибку/сообщение о бане и уходит.
Весь прикол в том что анализируя логи сервера я заметил что в логах один ip адрес дергает 1-3 ссылки и на большенстве ресурсов под моей ответственностью, вот только ip адресов которые «щупают» сайт\сервер — много, очень походит на обширную бот сеть с управлением. Можно конечно и на фаерволе килять любую активность с серых адресов, но не всегда удобно. Вариант прикинуться «жмуриком» для меня показался лучшим. Хотя только время сможет показать правильность решения.
К — конкуренция. :))
А вы не демали продукт лучше сделать?
Или процесс оптимизировать?
Или ускорить изготовление? Или хотя бы маркетинг провести почему другой сайт лучше вашего?
Мне кажется в долгосрочной перспективе можно достичь лучших результатов и не потерять «лицо» перед клиентами
А вы не демали продукт лучше сделать?
Или процесс оптимизировать?
Или ускорить изготовление? Или хотя бы маркетинг провести почему другой сайт лучше вашего?
Мне кажется в долгосрочной перспективе можно достичь лучших результатов и не потерять «лицо» перед клиентами
Плюнул, нарисовал кастомную конфигурацию ф2бан. в пике атаки в iptables в правиле висело под сотню адресов.
И это при том, что самый посещаемый сайт на том сервере генерировал около 10-20 гигабайт трафика в месяц на ответах
Это просто фиаско!!! по поводу сайтов
Если делаешь то двежки обновляй и обновляй ТЗИ
Просто взялся работай бери =D
Если делаешь то двежки обновляй и обновляй ТЗИ
Просто взялся работай бери =D
Sign up to leave a comment.
29% вебсайтов уязвимы для DOS-атаки даже одной машиной (CVE-2018-6389)