LucianoZ Posted September 5, 2018 Author Share Posted September 5, 2018 20 minutos atrás, Jorge Marcelino disse: WAF e ajustes diretamente no servidor, NÃO é falha no Wordpress. Não da para afirmar com certeza que também não é, se estão tentando bruteforce é porque acharam alguma forma de capturar. 0 Quote Chamou? Estamos ai! Link to comment Share on other sites More sharing options...
Jorge Marcelino Posted September 5, 2018 Share Posted September 5, 2018 6 minutos atrás, LucianoZ disse: Não da para afirmar com certeza que também não é, se estão tentando bruteforce é porque acharam alguma forma de capturar. Isso ocorre até nas versões atualizadas, pode ter certeza que já verificamos isso. Como dito utilizam scripts para fazer varreduras, a partir do hostname (IP) do servidor. 0 Quote █ www.HostSeries.com.br - Hospedagem de sites | Revenda de Hospedagem cPanel | VPS KVM SSD | Streaming | Performance Superior com discos SSD NVMe e Litespeed! Data center Tier 4 HIVELOCITY Link to comment Share on other sites More sharing options...
Administration NullRoute Posted September 5, 2018 Administration Share Posted September 5, 2018 Eu acho que eles estão atirando para tudo quanto é lado, o que me chama a atenção é o porque usarem uma botnet BR para isso ai. 0 Quote Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link to comment Share on other sites More sharing options...
sabenada Posted September 5, 2018 Share Posted September 5, 2018 8 minutes ago, owsbr said: Eu acho que eles estão atirando para tudo quanto é lado, o que me chama a atenção é o porque usarem uma botnet BR para isso ai. Exato colega, chama atenção é isso, uma botnet 100% BR. E vou te dizer, eu venho coletando todos os IP's da botnet - eliminando os duplicados já tenho 21.000 IP's. Claro que a maioria é IP dinamico, mas mesmo assim é muita máquina infectada, mesmo que seja só 10% disso o cara tem uma botnet de 2.000 máquinas. Outra informação: hoje a botnet saiu do padrão do horário, já não atacou "somente após as 14hs" - hoje iniciou o ataque as 06h. 0 Quote Link to comment Share on other sites More sharing options...
Administration NullRoute Posted September 5, 2018 Administration Share Posted September 5, 2018 33 minutos atrás, sabenada disse: Exato colega, chama atenção é isso, uma botnet 100% BR. E vou te dizer, eu venho coletando todos os IP's da botnet - eliminando os duplicados já tenho 21.000 IP's. Claro que a maioria é IP dinamico, mas mesmo assim é muita máquina infectada, mesmo que seja só 10% disso o cara tem uma botnet de 2.000 máquinas. Outra informação: hoje a botnet saiu do padrão do horário, já não atacou "somente após as 14hs" - hoje iniciou o ataque as 06h. Pois é, preocupante demais até mesmo por outra situação. Nas novas versões do WHM é possível colocar um geobloqueio para os serviços do servidor (webmail, cpanel, smtp, etc..) No meu caso eu bloqueei o mundo inteiro menos Brasil (99% dos meus clientes)...e com isso contas invadidas para envio de spam caiu drasticamente MAS ai notei essa situação que você disse...Começaram a usar botnet BR.. F*** isso... 0 Quote Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link to comment Share on other sites More sharing options...
adamkain Posted September 5, 2018 Share Posted September 5, 2018 É, aqui começou a partir das 6h tbm... Mas pelo que vi, não foi somente no wp-login.php, o index.php tbm estava sendo alvo Desativei o cachewall e ativei o engintron e parece que está segurando conforme solução postada. 0 Quote Link to comment Share on other sites More sharing options...
Thiago Santos Posted September 5, 2018 Share Posted September 5, 2018 Como uma opção gratuita para o WordPress: https://br.wordpress.org/plugins/hide-my-wp/, no meu WP uso ele e nada foi alterado por aqui. O problema é nos clientes que só instalam e deixam tudo padrão, o correto é entrar em cada WP e alterar o login, isso já deveria ser padrão do WP, quando vc instala ele, já altera as URL's padrões, caso contrário é fácil ter problemas com ele. 0 Quote Link to comment Share on other sites More sharing options...
sabenada Posted September 5, 2018 Share Posted September 5, 2018 12 minutes ago, adamkain said: É, aqui começou a partir das 6h tbm... Mas pelo que vi, não foi somente no wp-login.php, o index.php tbm estava sendo alvo Desativei o cachewall e ativei o engintron e parece que está segurando conforme solução postada. Colega, vou dizer... no início deste ataque, coisa de 30 dias atrás, esta botnet fazia bruteforce no WORDPRESS + FTP + CPANEL. Quando o ataque iniciava em um site, a botnet simultaneamente tentava login no FTP e no CPANEL. A carga explodia. Depois de 5 ou 6 dias o desocupado mudou a tática, desistiu do FTP+CPANEL, provavelmente porque o firewall bloqueia após X tentativas, e focou somente no WORDPRESS. O que me impressiona é como o cara tem inteligência para fazer isso, tem tempo livre - porque não faz algo produtivo? Porque não cria algo para ele? Mesmo que seja um script-kid (bem provável), o cara tem algum neurônio funcionando, podia trabalhar e ganhar algum dinheiro sem encher o saco dos outros. O pior é que o ataque dele é meio inútil, aqui eu uso mod_security que está bloqueando todos os hits dele, ou seja a botnet dele não consegue acesso ao wp-login.php. O cara tá lá perdendo tempo. Enfim, vamos ver até onde ele vai. 0 Quote Link to comment Share on other sites More sharing options...
Administration NullRoute Posted September 5, 2018 Administration Share Posted September 5, 2018 2 minutos atrás, Thiago Santos disse: Como uma opção gratuita para o WordPress: https://br.wordpress.org/plugins/hide-my-wp/, no meu WP uso ele e nada foi alterado por aqui. O problema é nos clientes que só instalam e deixam tudo padrão, o correto é entrar em cada WP e alterar o login, isso já deveria ser padrão do WP, quando vc instala ele, já altera as URL's padrões, caso contrário é fácil ter problemas com ele. Deveria ser como o PrestaShop que ao finalizar a instalação gera uma URL aleatória. Algo que o @adamkain disse de fato ocorre, ao barrar wp-login ele vai para o index mantendo a carga elevada do mesmo jeito. O negócio é esperar e torcer pela morte do autor do ataque. 0 Quote Eu sou a existência que vocês chamam de "mundo". Ou talvez "universo", ou talvez "Deus", ou talvez "verdade", ou talvez "tudo", ou talvez "um". Link to comment Share on other sites More sharing options...
Thiago Santos Posted September 5, 2018 Share Posted September 5, 2018 2 minutos atrás, owsbr disse: Deveria ser como o PrestaShop que ao finalizar a instalação gera uma URL aleatória. Algo que o @adamkain disse de fato ocorre, ao barrar wp-login ele vai para o index mantendo a carga elevada do mesmo jeito. O negócio é esperar e torcer pela morte do autor do ataque. Eu notei que nos sites com CloudFlare ativado, essa sobrecarga não acontece, com sucuri deve resolver também. 0 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.