Sunt atacat cumva de hackeri?

Jeliu Mihai Bogdan

Graphic Designer
Registered
Full Member
Graphic Designer
Tot primesc email-uri (5-7 mail-uri) cu mesajul:

Your website, , is undergoing a brute force attack.

There have been at least 50 failed attempts to log in during the past 120 minutes that used one or more of the following components:

Component Count Value from Current Attempt
------------------------ ----- --------------------------------
Network IP 1 41.35.3.*
Username 50 admin
Password MD5 2 7b6f41bda13c240558f856074d9118d7

The most recent attempt came from the following IP address: 41.35.3.204

The Login Security Solution plugin (0.51.0) for WordPress is repelling the attack by making their login failures take a very long time. This attacker will also be denied access in the event they stumble upon valid credentials.

Further notifications about this attacker will only be sent if the attack stops for at least 120 minutes and then resumes.


Astazi tocmai aveam un fisier corupt in site si l-am inlaturat deoarece nu puteam trimite email-uri, iar vad ca acum imi arata ca ar fii incercat cineva sa se logheze de mai mult de 50 de ori, avand un sistem de resetare parola la o anumita perioada. Este cumva un spam sau este adevarat?
 
Daca esti pe shared hosting, nu poti face prea multe.

1. nu este spam
2. schimba userul la wordpres din admin in altceva
3. baneaza ip sau chiar clasa de ip la acel user. Daca nu poti face din wp-admin sau cpanel vezi aici http://www.roforum.net/threads/cum-sa-securizezi-wordpress-pluginuri.72/
4. daca ai vps sau server dedicat vezi acest topic. http://www.roforum.net/threads/ddos-attack-ce-este-si-cum-te-protejezi.492/
5. trece blogul prin cloudflare si cand esti atacat seteaza maxim la securitate.
 
Si recomand. Se blocheaza foarte usor un user. Nu stiu cum se compoarta cand esti atacat.
In setari sunt mai multe optiuni din care poti alege. In cazul in care suspectezi ca esti atacat, folosesti optiunea Level 4
wordfence.pngwordfence.png
 
Am plugi-ul asta, si vad ca pe tgprod.ro la live traffic am asta:
Untitled.png
 
Da, sunt atacat foarte mult pe site-ul ala, au aflat si smtp-ul meu si imi blocheaza email-urile...
 
daca ti se pare ip-uri (sau adrese de email) suspecte le poti trece prin filtrul Cleantalk dau exemplu IP-ului din Ucraina ... mno uite ce spammar ai :D Ucraina dam
Dai un block this network iti garantez ca are sa-ti mai incerce site-ul de sute de ori

Eu la setari am creat si url-uri fake gen /wp-login/, /password/, /database/, /thumb-config/,/phpAdmin/ ...
si trec toate paginile pe care le incearca hackerii
 
Pai ai host shared sau vps/dedicat?
smtp de la destinatie blocheaza e-mail si nu cel de pe host. Acum depinde si ce tip de host ai si cate mesaje trimiti pe ora. majoritatea shared hosting au 500 mesaje pe ora setat.
 
la mine am setat de la bluepink.ro un numar de 2500 de email-uri, si imi tot gasesc fisiere cu scris ciudat, erori ceva de genul...si nu pot sa mai trimit email-uri...
 
gasesc fisiere cu scris ciudat, erori ceva de genul

Trebuie sa fi mai explicit man.
Unde apar aceste fisiere, erori, un print ceva, etc. Altfel nu te putem ajuta.
Cat despre e-mail cand trimiti unul ce se intampla?
 
Trebuie sa fi mai explicit man.
Unde apar aceste fisiere, erori, un print ceva, etc. Altfel nu te putem ajuta.
Cat despre e-mail cand trimiti unul ce se intampla?
1. In ftp, gasesc in wp-admin, ba in wp-themes, fisiere php cu scris in ... chineza,, nu stiu ce limba, numai ca nu are logica nimic, un scris %#@%&&^*( ..gen foarte foarte lung.
2. cand trimiteam un mail imi arata asta:
Untitled_1.png
 
la mine am setat de la bluepink.ro un numar de 2500 de email-uri, si imi tot gasesc fisiere cu scris ciudat, erori ceva de genul...si nu pot sa mai trimit email-uri...
revamped email - oricine poate sa foloseasca adresa domeniului gen [email protected] sau [email protected] -> bla bla bla @adresadomeniu.com si sa faca spam cu adresa ta de email ... se practica si nu prea ai ce face
In ceea ce priveste )(&(*^*^&^(&6... cred ca sunt insertii. test de vulnerabilitate.
Vezi in wordfence ce iti afiseaza la Page Not Found tab si baneaza toate ip-urile care arata ciudat cu caractere ciudate sau cu multe plusuri gen +++++++++++++++++++++++++++++++%D2%....
 
pai si ce pot sa fac in cazul asta? :-s
Vorbeste cu adminul. Nu tine de tine.

sa faca spam cu adresa ta de email ... se practica dar nu prea ai ce face
Dupa noile reguli impuse de yahoo si daca sunt implementate de toata lumea se poate scapa de problema asta. yahoo a bagat noi protocoale la serviciul de e-mail care au fost preluate de gmail, hotmail si restul.
Oricine poate trimite un mesaj cu [email protected] . Cu noile reguli de la yahoo e mai greu sa ajunga in inbox.
 
Poti folosi pluginul Sucuri website auditing, dai un scan si apoi vii aici cu print. Acesta iti arata fisierele care in mod normal nu ar rebui sa fie in Wordpress, sau fisiere cu coduri suspecte. E posibil sa apara si 2-3 care de fapt nu au nimic. Al doilea plugin, un pic mai bun decat Wordfence ar fi iThemes Security, fostul Better WP Security. Cu asta poti schimba url pentru logare, si multe alte lucruri. Daca vrei sa il instalezi, sa imi spui ca sa iti arat cam ce setari sa faci, sa nu consume nici prea multe resurse.
 
Poti folosi pluginul Sucuri website auditing, dai un scan si apoi vii aici cu print. Acesta iti arata fisierele care in mod normal nu ar rebui sa fie in Wordpress, sau fisiere cu coduri suspecte. E posibil sa apara si 2-3 care de fapt nu au nimic. Al doilea plugin, un pic mai bun decat Wordfence ar fi iThemes Security, fostul Better WP Security. Cu asta poti schimba url pentru logare, si multe alte lucruri. Daca vrei sa il instalezi, sa imi spui ca sa iti arat cam ce setari sa faci, sa nu consume nici prea multe resurse.
Multumesc pentru sfaturi, maine cel tarziu, adaug din nou tot, de la 0 sterg tot, nu ma mai intereseaza ce mai este pe el pentru ca o sa adaug un design nou si atunci o sa il securizez de la inceput...
 
@Jeliu Mihai Bogdan daca loginurile se intampla in /wp-admin si cineva incearca sa se logheze, inseamna ca primesti dictionary attack ceea ce iti recomand sa cauti un plugin pt login atempts sau daca nu ai useri care se locheaza poti folosii htaccess sa blochezi orice access

allow from117.168.1.10
allow from117.168.119.11
deny from all

Iar pentru fisierele ciudate de pe server, ai probleme cu file permission gen, toate fisierele trebuie sa aimbe 655 iar folderele 755. Deasemena restrictioneaza loginurile la SSH cu fail2ban si reduce login atempts cu acelasi program, pentru ca e posibil sa fi primit un dictionary attack pe server si cineva tia spart parola, sau o a 2a posibilitate ai vulnerabilitate in website XSS unde iti poate scrie direct pe server.

Posteazati websiteul aici: http://www.roforum.net/forums/ajutor-vulnerabilitati-wp.109/ si eu iti fac un simplu test la website.
 
Loading...
Back
Sus