29.08.2017      440      0
 

Атака на сайт. Моя история


В минувшие выходные была брутфорс-атака на мой сайт. Речь не об отдельных попытках влезть в админку путем подбора логина и пароля, а о нескольких тысячах таких попыток менее чем за сутки. Сначала я просто наблюдала за быстро увеличивавшимся числом заблокированных ip (я впервые столкнулась с подобным), но когда оно разменяло третью сотню, поняла, что дальше ждать нельзя.

Изначально у меня стоял плагин Login LockDown, ограничивающий число попыток авторизации. Не уложился в установленное время – в баню. Обычно в ней томилось не более двух-трех нарушителей, но в субботу попалось сразу десять. Через час их было уже несколько десятков, через два – более двухсот:

Количество временно забаненных ip увеличивалось на глазах, на смену освободившимся вредителям немедленно приходили новые с других адресов. География – от Саудовской Аравии до Филиппин.

Первым делом я запустила полную проверку компьютера на вирусы, уязвимости и иже с ними. Там все было предсказуемо чисто. Еще удалила папку со старой темой и ненужные более плагины. До кучи решила удалить и блокирующий плагин, поскольку он давно не обновлялся, а вместо него установить комплексную защиту, совместимую с текущей версией движка. Незадолго до этого я смотрела видео с подробной инструкцией по установке и настройке плагина WP Security, его и отыскала:

Я не утверждаю, что это лучший вариант защиты, но в любом случае это решение (кстати, бесплатное).

До последнего у меня теплилась надежда, что прежний плагин попросту «глючил». Оказалось, нет. WP Secutity также начал сообщать о заблокированных адресах, причем число их стало нарастать еще быстрее – уже по нескольку в минуту. Попытки входа делались как через извечные admin и test, так и через название моего блога, и даже через ник:

Однако главные сюрпризы ждали меня впереди: просматривая страницы отчета, я обнаружила, что часть зловредов пытается авторизоваться под моим настоящим логином. Парадокс в том, что совсем недавно я писала об опасности шаблонов, высвечивающих логин (статья «А вы уверены, что ваш логин для входа в админку WordPress в безопасности?» и ее продолжение «Как спрятать логин WordPress»), но при этом никак не думала, что сама окажусь под прицелом – блог мой явно мелковат для массированной атаки. Тем не менее он под нее попал. Шаблон-то я сменила, а вот логин оставила прежний (и, по-видимому, к этому времени он уже успел засветиться).

Ну, и самое неприятное. Выполнив рекомендации по настройкам плагина, я поменяла логин и пароль, но при создании нового пользователя забыла снять галочку в окне «Отправить пользователю письмо об учетной записи». К слову, почта для нового пользователя была указана доменная. Полезла я в нее удалить уведомительное письмо с логином, а его там нет. Отправила проверочное сообщение с другого адреса – пришло. А то, что с логином – где-то зависло.

Плюнула и пошла спать, ибо была уже глубокая ночь, и я валилась с ног от усталости. Утром захожу в админку – за ночь было без малого почти четыре тысячи попыток авторизации:

Страницу для входа в консоль я вечером изменила. Где и как пытались авторизоваться «гости», не знаю. Меня поразило другое: ночью кто-то пытался залогиниться под моим новым логином (из потерявшегося письма). Как такое возможно? Я же ничего под ним не публиковала — он создан был буквально перед сном. Случайно подобрать его не могли – это жуткая абракадабра из двух десятков цифр и букв в разных регистрах. Посмотрела, откуда «тезка»:

В общем, не знаю, что и думать. Все это очень неприятно. К доменной почте доверия больше нет.

Надеюсь, что моя история послужит уроком тем, кто считает, что атака на сайт – это нечто далекое, не грозящее молодым ресурсам. Я тоже в глубине души не верила, что кому-то понадобится взламывать мой блог, а в итоге меня спас только сложный пароль и оперативная установка комплексной защиты.

Не повторяйте моих ошибок – позаботьтесь о безопасности заранее. Удачи вам и вашим блогам.


Ваш комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Политика конфиденциальности
Пользовательское соглашение