Wordpress сайттарына шабуыл - пароль теру + XMLRPC
Сенбі күні түстен кейін, менің 25 wordpress-те жасалған сайттар орналасқан серверім баяу жұмыс жасай бастады. Мен алдыңғы екі шабуылды (біріншісі, екіншісі) байқамастан бастан өткізгендіктен, басында мен не болып жатқанын байқамадым.
Не болғанын түсінген кезде, парольдерді теру + көптеген XMLRPC сұраныстар болып жатқаны анықталды.
Бірден болмаса да, мен оларды тоқтата алдым. Төменде осындай шабуылдардан сақтанудың үш қарапайым жолы қарастырылған.
Бұл әдістер барлығыңызға таныс болуы керек, бірақ мен қажет кезде олардың бар екенін білмедім және бірден қолдана алмадым, сондықтан, осы мақала басқалардың уақыт тежеуіне септігін тигізер деген үміттемін.
1. Limit Login Attempts қосымшасын пайдалану арқылы пароль терілуін тоқтатамыз. Дәл осы қосымшаны қоямыз, өйткені, басқа қосымшалар серверге көп ауырлық тудырады, мысалы, Login Security Solution қосымшасын пайдаланған кезде сервер жарты сағаттан кейін құлады, өйткені, қосымша базаға үлкен ауырлық түсіреді.
Қосымша баптауында міндетті түрде «За прокси» баптауын іске қосыңыз, әйтпесе ол барлық ip аддресстерді алады да тосқауылдап тастайды.
2. Disable XML-RPC (жай іске қосамыз) қосымшасы арқылы XML-RPC-ті өшіреміз
3. wp-login.php файлын жабамыз — егер сайтқа ip арқылы қосылсақ қосымша жұмыс жасамайды, сондықтан шабуыл тоқтамайды. Мұндай жағдай болмауы үшін .htaccess файлына келесі қатарларды қосамыз:
wp-login файлын көшіреміз және атын кез-келген түсініксіз бір атқа өзгертеміз, мысалы, poletnormalny.php. Өзгертілген файл ішінде wp-login.php сөздерін poletnormalny.php-ге ауыстырамыз. Болды, енді админкаға тек сіздің файлыңыз арқылы кіруге болады.
Осы қиын емес үш қадамнан соң сайттар тынышталды және жақсы жұмыс жасай бастады.
Сізді шабуыл жасап жатқанын білудің бір жолын қарастырайық. Оны nginx логтарында көруге болады (debian-да /var/log/nginx/access.log файлы).
Егер парольді теру жүріп жатқан болса, сіз логта төмендегідей өте көптеген қатар көресіз:
87.230.87.xx — — [04/Aug/2014:06:35:53 +0400] «POST /wp-login.php HTTP/1.0» 200 5791 "-" "-"
XMLRPC сұраныстары:
95.0.83.xx — — [04/Aug/2014:06:48:03 +0400] «POST /xmlrpc.php HTTP/1.0» 499 0 "-" «Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)»
Не болғанын түсінген кезде, парольдерді теру + көптеген XMLRPC сұраныстар болып жатқаны анықталды.
Бірден болмаса да, мен оларды тоқтата алдым. Төменде осындай шабуылдардан сақтанудың үш қарапайым жолы қарастырылған.
Бұл әдістер барлығыңызға таныс болуы керек, бірақ мен қажет кезде олардың бар екенін білмедім және бірден қолдана алмадым, сондықтан, осы мақала басқалардың уақыт тежеуіне септігін тигізер деген үміттемін.
1. Limit Login Attempts қосымшасын пайдалану арқылы пароль терілуін тоқтатамыз. Дәл осы қосымшаны қоямыз, өйткені, басқа қосымшалар серверге көп ауырлық тудырады, мысалы, Login Security Solution қосымшасын пайдаланған кезде сервер жарты сағаттан кейін құлады, өйткені, қосымша базаға үлкен ауырлық түсіреді.
Қосымша баптауында міндетті түрде «За прокси» баптауын іске қосыңыз, әйтпесе ол барлық ip аддресстерді алады да тосқауылдап тастайды.
2. Disable XML-RPC (жай іске қосамыз) қосымшасы арқылы XML-RPC-ті өшіреміз
3. wp-login.php файлын жабамыз — егер сайтқа ip арқылы қосылсақ қосымша жұмыс жасамайды, сондықтан шабуыл тоқтамайды. Мұндай жағдай болмауы үшін .htaccess файлына келесі қатарларды қосамыз:
<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>
wp-login файлын көшіреміз және атын кез-келген түсініксіз бір атқа өзгертеміз, мысалы, poletnormalny.php. Өзгертілген файл ішінде wp-login.php сөздерін poletnormalny.php-ге ауыстырамыз. Болды, енді админкаға тек сіздің файлыңыз арқылы кіруге болады.
Осы қиын емес үш қадамнан соң сайттар тынышталды және жақсы жұмыс жасай бастады.
Егер қызық болса
Сізді шабуыл жасап жатқанын білудің бір жолын қарастырайық. Оны nginx логтарында көруге болады (debian-да /var/log/nginx/access.log файлы).
Егер парольді теру жүріп жатқан болса, сіз логта төмендегідей өте көптеген қатар көресіз:
87.230.87.xx — — [04/Aug/2014:06:35:53 +0400] «POST /wp-login.php HTTP/1.0» 200 5791 "-" "-"
XMLRPC сұраныстары:
95.0.83.xx — — [04/Aug/2014:06:48:03 +0400] «POST /xmlrpc.php HTTP/1.0» 499 0 "-" «Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)»
Аудармашыдан
Қауіпсіздікке мән бермеу өте қымбатқа түсуі мүмкін. Сондықтан сақ болыңыздар ;). Бұл мақала аударма (тұпнұсқа).-
+4
www.breaksec.com/?p=6362
Яғни серверге дейін құлатып тастауға болады екен.