Сообщений в теме: 62

[mikey]

Привет, ребята

Сегодня получил письмо от хостера.
Цитирую его
 

Уведомляем Вас, что нашими техническими специалистами были зафиксированы массовые атаки на сайты, работающие на основе таких CMS, как Joomla и Wordpress, с последующим взломом и получением несанкционированного доступа к управлению сайтом. Как удалось выяснить, на сегодняшний день подобным атакам подвергаются множество хостинговых компаний.

Во избежание несанкционированного доступа к Вашим ресурсам, а также для сохранения их стабильной работы было принято решение временно закрыть возможность входа в административную панель CMS Joomla и Wordpress.

О возобновлении доступа будет сообщено дополнительно после принятия необходимых мер по безопасности.

Приносим извинения за неудобства и благодарим Вас за понимание.

1. С одной стороны,  понятно,  что WP b Joomla дырявы.
Причем не столь сами движки, а разные к ним темы и плугины

 

2. Но вот дальше
 

было принято решение временно закрыть возможность входа в административную панель CMS Joomla и Wordpress.

Причем сроки  даже не указываются\... Просто "времено" и баста!!!

 

О возобновлении доступа будет сообщено дополнительно после принятия необходимых мер по безопасности.

Вот просто любопытно спросить у IT -специалистов: какие хостер может принять "меры безопасности?

Огранмичить использование тем и плагинов?
Обязать делать регулярные обновления?

[Катя (Aki Astarta)]

Уведомляем Вас, что нашими техническими специалистами были зафиксированы массовые атаки на сайты, работающие на основе таких CMS, как Joomla и Wordpress, с последующим взломом и получением несанкционированного доступа к управлению сайтом. Как удалось выяснить, на сегодняшний день подобным атакам подвергаются множество хостинговых компаний.

 

Похоже, что так и есть

Мне хостер ничего не писал, но вчера и сегодня были заметные проблемы с доступностью  сайтов. В техподдержке сказали:

Идёт массированная атака на все сайты на движке WordPress.

 

Правда, доступ в панель управления никто не закрывал.

 

 

 

О личном и наболевшем: забодали уже все эти атаки: прям проклятье какое-то в последний меясц  

[mikey]

Правда, доступ в панель управления никто не закрывал.

Они закрыли доступ не в панель управления хостера.
Там все  работает.

Они закрыли доступ в админку самого движка.

Вообще интересно.
Сперва написали, что сайт переводят на новую базу данных
 

[Катя (Aki Astarta)]

Они закрыли доступ в админку самого движка.

Я это и имела в виду: панель управления Вордпресс. Мой хостер ничего не закрывал, там все работает)

 

 

Причем сроки  даже не указываются\.

 

Вот это мне тоже не нравится. что сроки не указываются "Мы работаем над проблемой, сообщить о сроках окончания работ, к сожалению, не можем. Спасибо за понимание" (техподдержка моего хостера)

[mikey]

Ну вот пришло письмо от хостера.

Сперва
 

В связи с массовыми атаками на сайты, работающие на основе CMS Joomla и Wordpress, с целью предотвращения несанкционированного доступа были введены ограничения для входа в административные панели сайтов.

Далее

Для возможности предоставления безопасного доступа к административной панели сайта в файл .htaccess был добавлен следующий блок:

Суть в том, что теперь сайт можно будет администрировать только с определенного IP!!
 

Для получения доступа необходимо в секции "<Files>" в строке "#allow from My_IP" убрать знак "#" и вместо "My_IP" прописать внешний IP-адрес компьютера, с которого производится работа с административной панелью сайта.

 

Проблема в том, что у меня IP динамический.

Потом идут советы на тот случай, если не получится...

Лано бум пробовать, когда время подойдет

[Сергей (ex-Gudvin)]

было принято решение временно закрыть возможность входа в административную панель CMS Joomla и Wordpress.

 

Сперва написали, что сайт переводят на новую базу данных

 

в файл .htaccess был добавлен следующий блок:

 

Странные какие-то решения и действия... Не фишинговое ли письмо Вы получили?

[Лена]

Сперва пришло письмо о мошеннической рассылке. 

 Потом пришло о том, что написал mikey. Отправлено вроде с правильного домена.

 При попытке зайти в админку 403 ошибка сразу (то есть даже логин и пароль вводить некуда).

 

Айпи тоже динамический.

[Den Shark]

письма получал...просто проигнорировал как лбычно.

 

В админку зашел совершенно спокойно.

 

 

Странные какие-то решения и действия... Не фишинговое ли письмо Вы получили?

 

Вот потому и игнорирую такие письма

[Сергей (ex-Gudvin)]

Не фишинговое ли письмо Вы получили?

 

Похоже, что не фишинговое... Только что получил подобное же письмо и, как сказала Лена, письмо похоже, всё-таки, именно от хостера... И также, админка Wordpress под "Forbidden". На всякий случай отписал хостеру, но ответят скорее всего теперь уже только завтра. Посмотрел файлы - сделана резевная копия прежнего .htaccess, а в новый .htaccess дописан нижеуказанный код:

# SpaceWeb
<Files wp-login.php>
    order deny,allow
    deny from all
    #allow from My_IP
</files>

Проблема в том, что у меня IP динамический.

 

mikey, в течении одной сессии IP редко меняется... Перед входом в админку можно просто выяснить и прописать свой IP  в .htaccess... Или просто удалить из .htaccess указанный выше код.

 

В админку зашел совершенно спокойно.

 

Денис, ты же вроде тоже на SpaceWeb? Почему у тебя доступ в админку есть? Или ты ушёл на другой хостинг?

[Den Shark]

Почему у тебя доступ в админку есть? Или ты ушёл на другой хостинг?

 

Меня наверное просто не заметили 

 

Доступы есть на все блоги...

[mikey]

<Files wp-login.php>
order deny,allow
deny from all
#allow from My_IP
</files>

Да, мой хостер тоже такую же строчку добавил.

Сейчас полет нормальный
 

Сперва пришло письмо о мошеннической рассылке.

Рассылка с моего акка была где-то год назад.
Но тогда именно с моего

Долго ее лечил.
Всякими антивирями систему почти что посадил.
Только сейчас нашел время ее переустановить.

В акке своем почти, что все уничтожил тогда. (лишние движки, скрипты. Из ВП убрал все темы и плагины + разные файлы)

Проблема, как предполагаю решилась, тем что совсем запретил любые регистрации на блоге даже подписку.
Ну и есть там файлик wp-post.php вроде бы.... с него рассылка и может идти.

Теперь в целом все ок. Единственное не могу подключить блок-клиент.
Но это началось сразу после переустановки  оси.
Единственная проблема, которую мне не удалось решить после переустановки оси

[Артём Еремеевский]

Подробнее вот что было (это письмо от моего хостера FastVPS):

 

В течение двух дней мы получили огромное число запросов, связанных с падением серверов, на которых были сайты, основанные на CMS WordPress и Joomla. Как выяснилось, данные падения связаны с перебором паролей на админ-панель сайта. Перебор паролей носит характер DDoSа, т.к. осуществляется многопоточно и с разных IP адресов.

В связи с этим, для безопасности и стабилизации работы сервера, как один из самых простых и эффективных вариантов, нужно установить http авторизацию на админ-панель Вашего сайта, следуя простой инструкции:

 

В общем похоже просто был массовый брутфорс на блоги WP и Joomla. Т.е. это связано не с безопасностью по сути, а с тем, что у всех блогов на WP и Joomla общеизвестные пути в админку и на страницу авторизации.

[Сергей (ex-Gudvin)]

На всякий случай отписал хостеру, но ответят скорее всего теперь уже только завтра.

 

Хостер подтвердил, что это была именно его рассылка и описанные в ней действия.

 

есть там файлик wp-post.php вроде бы...

 

Такого файла в дистрибутиве Wordpress нету.

[Vlastilen]

Я получил письмо хостинг Full space, только доступ в админ-панель только через технический домен

[Vital1981]

П.с. на самом деле просто создание бот-нета стало более доступно. Т.к. информация просочилась в паблик.

п.п.с. кстати есть курсы по бот-нету направленные на WP и Joomla+)))))

[mikey]

Такого файла в дистрибутиве Wordpress нету.

Ну да...
Я же написал вроде бы

Там есть wp-mail.php
Еще должен быть wp-smpt-mail.php. (так насколько помню он назывался . Опять-таки возможно это был какой-то из плагинов

 

 Суда по всему рассылка тогда через один из подобных файлов и осуществлялась.

(Но это та  старая история)

[Лена]

Сейчас полет нормальный

 

Так что - убрать этот кусок кода?

Что делать-то? 

[Сергей (ex-Gudvin)]

Спросил у хостера, но он ещё не ответил.

[Лена]

Ясно

[mikey]

Так что - убрать этот кусок кода?

Что делать-то? 

 

Я закачал соответствующий файл по фтп

Я просто убрал решетку #
И вместо "My_IP" вставил свой IP
И закачал файл обратно на хост

Единственное, что свой IP  я узнавал на одном из сервисов Интернета, а не через команду Windows/
Тот  ip  не подошел

Сейчас проверил специально. Вхожу в админку без проблем