"Проднижение" сайта через 100% отказ и попытки взлома. Что можно сделать?

Question

Александр @Panascanic

Немного WP и немного SEO

"Проднижение" сайта через 100% отказ и попытки взлома. Что можно сделать?

Текст вопроса не может быть менее 30 и более 10 тысяч символов :)

Вопрос задан более трёх лет назад
915 просмотров

7 комментариев

Подписаться 9 Простой 7 комментариев

Дмитрий @dimasmagadan

зачем блокировать?
если считаешь, что это делается чтоб понизить в поиске, делай шадоу бан - показывай такую же страницу но без счетчиков/скриптов гугла. но, на мой взгляд, такой способ понижения особо не имеет смысла

а перебор идет тупо скриптом - к wp-login брутфорсом пытается ломануть
по темам - ищет знакомую с известной дыркой (к примеру у тебя может быть там неактивная тема с timthumb, а уже через него можно дальше ломать)

Написано более трёх лет назад
Дмитрий @dimasmagadan

Александр,
А зачем перебирать темы, если через html в браузере можно прочитать какая это тема

можно узнать только текущую. в ней может не быть дыр.
но могут быть еще и другие, не активные темы. в них дыры могут быть

вообще, похоже, что какой-то школьник нашел https://wpscan.org/ и натравил его на ваш сайт
рекомендую посмотреть, что еще wpscan проверяет и прикрыть себя заранее в тех местах

Можно подробнее про Shadow ban?

https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BD%D...
в вашем случае, если вы считаете, что атака была направлена на понижение вас в гугле, можно не перекрывать диапазон ИП адресов (тк после этого он их меняет и начинает по новой), а разрешить ему ходить на сайт с тех адресов, но убрать для того диапазона загрузку всех скриптов гугла. чтоб гугл не знал, сколько времени пользователь был на той странице и вообще, дошел он до нее или нет.
но, повторюсь, на мой взгляд это не имеет смысла

Написано более трёх лет назад
Otrivin @Otrivin

Дмитрий, а ещё можно <было> майнить на боте) Тоже нарвался на похожую проблему, в итоге ушел под CF + отдавал статичную страницу, с отдельным счётчиком (для собственных наблюдений)

Написано более трёх лет назад
bozuriciyu @bozuriciyu

Александр а что это за сервис админка с айпи запросов?

Написано более трёх лет назад
Александр @Panascanic Автор вопроса

bozuriciyu,
а что это за сервис админка с айпи запросов?
Имеется ввиду, чем собрана статистика переходов на конкретный URL? Уточните пожалуйста.

Написано более трёх лет назад
bozuriciyu @bozuriciyu

Александр,

чего это скрин?

Написано более трёх лет назад
Дмитрий @dimasmagadan

Александр,
Так как перебор тем это все же угар, на сайте стоит одна тема и ее можно прочитать через ctrl-shift-i

нет, это не угар. Это вполне себе рабочий поиск уязвимости. Видимо не совсем понятно написал.

На сайте сейчас стоит какая-то тема. Она активна. Ее так искать не надо. Но иногда владельцы ставят несколько тем, а потом забывают удалять файлы неактивных тем из папки themes. Вот такие файлы неактивных тем они и ищут

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 3

2 комментария

Otrivin @Otrivin

Сайт не для РФ.

Не принципиально, там можно выбрать разрешенные или запрещенные страны

как такое реализовать?

Нужны начальные знания php.

Если действовать совсем "в лоб", то:
spoiler
1) С помощью логов выявить признаки, гарантированно говорящие о том, что это бот. Отключённые куки, конкретный юзер-агент, другие характерные http-заголовки. Если со стороны бэкенда не получится выявить такие факторы, можно проверять на фронте с помощью какого-нибудь fingerprint-скрипта.
2) Т.к. "атака" идёт на одну страницу, открываем эту страницу обычным браузером, сохраняем исходник. Из него убираем упоминания счётчиков/ставим другие. Итоговый html сохраняем в отдельный *.php, кладем его рядом с index.php вашей темы.
3) Нужно подменить index.php. Оригинальный переименовываем, на его месте будет лежать php, в котором проводится проверка на запрашиваемый url ("атакуют" нас по одному адресу) и остальные факторы, помогающие засечь бота. Если url атакуемый и посетитель бот - инклудим php с сохраненной статикой, если условия не выполнились - инклудим оригинальный index.php

...но я бы советовал присмотреться к специализированным сервисам. Вышеописанный вариант годен для "поиграться" и, скорее всего, не подойдет, если у вас большое количество посетителей. Плюс, для этого решения придётся отключать кэширование, если оно используется.

Написано более трёх лет назад
Otrivin @Otrivin

Александр,
И если без знаний php - тоже решаемо:

Я про подмену страницы на статику.

Nikolay Petyukh, ТС упомянул, что сайт не для РФ.
А для себя учту такой неочевидный момент.

Написано более трёх лет назад

Комментировать

1 комментарий

Александр @Panascanic Автор вопроса

Перечитал ваш комментарий, Алексей,спустя 3мес. Кое что за это время стало мне более знакомо. В бан отправлено около сотни всяких идиотов, которые прописали ботам запрашивать /wp-login.php, /wordpress, /magento и так далее. С логами я упарился смотреть вручную в с-panel, методом перебора остановился на wordfence security - там же прописываю и добавляю типичные запросы идиотов, после которых 503 получается.

Многие подключают бота на адрес моего сайта, и он если узнал новую фиговину, бежит узнать или есть такой файл/папка на моем сайте. При этом бот и его хостнейм в бане уже третий месяц.

Другими словами - если не банить, но закрыть стандартную точку входа в админку и SQL иньекции в .htaccess, и там же доступ к wp-config,то результат будет тот же. За сотнями ботов стоят ленивые придурки, бот который опрашивает сайт на CMS wordpress с запросами папок типичными для CMS Magento. Связи нет, мозгов нет. Но кого это останавливает, да?

Большинство разучилось думать - автоматизация всего и вся... толпа блуждающих ботов, и наконец-то что-то новое, попытка купить хостинг на том же сервере что у меня и попытка его перегружать каждый час вызывая отказ сервера. Вот это уже худо бедно, но идея. ;)

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+3 ещё

Простой
Как стилизовать пагинацию постов по определённому признаку?
- 1 подписчик
- 19 часов назад
- 68 просмотров
1

ответ
WordPress

Простой
Как сделать ссылку на полное изображение?
- 1 подписчик
- 21 час назад
- 43 просмотра
2

ответа
WordPress

+2 ещё

Простой
Как добавить счетчик яндекс метрики в elementor без плагинов?
- 1 подписчик
- 21 час назад
- 62 просмотра
2

ответа
WordPress

Средний
Как сделать простой парсер своих страниц WordPress с внесением данных в БД?
- 1 подписчик
- вчера
- 52 просмотра
2

ответа
JavaScript

+1 ещё

Простой
Неизвестные скрипты на сайте (plupload и moxie). Для чего?
- 1 подписчик
- вчера
- 107 просмотров
1

ответ
WordPress

+1 ещё

Простой
Как импортировать большую базу данных в Wordpress?
- 1 подписчик
- вчера
- 53 просмотра
2

ответа
WordPress

Простой
Что за файл ru_RU.l10n.php в папке /wp-content/languages/ который переписывает весь перевод?
- 1 подписчик
- вчера
- 29 просмотров
0

ответов
WordPress

Простой
Как исправить ошибку при создании записи Wordpress?
- 1 подписчик
- вчера
- 24 просмотра
2

ответа
WordPress

Средний
Wordpress pagespeed Ninja почему меню отображается под контентом?
- 1 подписчик
- вчера
- 24 просмотра
0

ответов
WordPress

Средний
Wordpress меняет якорь «?» на «#» в UTM ссылках, как починить?
- 1 подписчик
- вчера
- 24 просмотра
1

ответ
Показать ещё Загружается…

WordPress developer (Contractor, Remote)

Hicaliber

До 2 300 $

Разработчик на Wordpress

Nocodered

от 40 000 до 140 000 ₽

Контент-менеджер, редактор (web3, крипто, финансы)

Bitbanker.ru

от 80 000 до 100 000 ₽

Доработать сайт на React + Nest

19 апр. 2024, в 12:05

1500 руб./в час

Разработать программу в CodeSys

19 апр. 2024, в 12:00

250 руб./за проект

Сделать мобильную версию сайта Next.js/React

19 апр. 2024, в 11:54

500 руб./в час

зачем блокировать?
если считаешь, что это делается чтоб понизить в поиске, делай шадоу бан - показывай такую же страницу но без счетчиков/скриптов гугла. но, на мой взгляд, такой способ понижения особо не имеет смысла

а перебор идет тупо скриптом - к wp-login брутфорсом пытается ломануть
по темам - ищет знакомую с известной дыркой (к примеру у тебя может быть там неактивная тема с timthumb, а уже через него можно дальше ломать)
Александр,
А зачем перебирать темы, если через html в браузере можно прочитать какая это тема

можно узнать только текущую. в ней может не быть дыр.
но могут быть еще и другие, не активные темы. в них дыры могут быть

вообще, похоже, что какой-то школьник нашел https://wpscan.org/ и натравил его на ваш сайт
рекомендую посмотреть, что еще wpscan проверяет и прикрыть себя заранее в тех местах

Можно подробнее про Shadow ban?

https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D0%BD%D...
в вашем случае, если вы считаете, что атака была направлена на понижение вас в гугле, можно не перекрывать диапазон ИП адресов (тк после этого он их меняет и начинает по новой), а разрешить ему ходить на сайт с тех адресов, но убрать для того диапазона загрузку всех скриптов гугла. чтоб гугл не знал, сколько времени пользователь был на той странице и вообще, дошел он до нее или нет.
но, повторюсь, на мой взгляд это не имеет смысла
Дмитрий, а ещё можно <было> майнить на боте) Тоже нарвался на похожую проблему, в итоге ушел под CF + отдавал статичную страницу, с отдельным счётчиком (для собственных наблюдений)
Александр а что это за сервис админка с айпи запросов?
bozuriciyu,
а что это за сервис админка с айпи запросов?
Имеется ввиду, чем собрана статистика переходов на конкретный URL? Уточните пожалуйста.
Александр,
Так как перебор тем это все же угар, на сайте стоит одна тема и ее можно прочитать через ctrl-shift-i

нет, это не угар. Это вполне себе рабочий поиск уязвимости. Видимо не совсем понятно написал.

На сайте сейчас стоит какая-то тема. Она активна. Ее так искать не надо. Но иногда владельцы ставят несколько тем, а потом забывают удалять файлы неактивных тем из папки themes. Вот такие файлы неактивных тем они и ищут

Answer 1 · 2019-09-19 19:32:55

Если Ваш сайт ориентирован на РФ, а боты валят из-за рубежа, можете уйти под бесплатную защиту cloudflare, запретив там подключения не из РФ.

Или отдавайте статичный html с левым счётчиком метрики/без него, для посетителей с указывающей на спамера совокупностью признаков.

PS интересно, gzip-бомбы ещё живы?

Answer 2 · 2019-09-19 19:11:16

Можно сделать "прокладку" ленивой загрузки всех счётчиков аналитики.
Если запросили URL, а "прокладку" не запрашивали и так 3-4 раза, то IP-шник в бан на
Y=X^5
где X - кол-во раз триггера события, а Y - кол-во минут бана.

Answer 3 · 2019-09-19 20:06:10

У меня проекты на впс и для подобных умников которые пытаются подобрать пароли к админкам (только при заходе в них)(url изменены на не стандартные) сразу в бан fail2ban'ом на 5 лет, насчёт перебора опять же после например 5 попыток с ответом сервера 404 в бан, я думаю это особенно поможет так как сайт уверено сидит на своих позициях в гугле, сейчас у меня в бане больше 500 подсетей от 128 ip до 16 миллионных(китай успокоил) + я каждые 3-4 дня стараюсь сам просматривать логи сервера на наличие левой активности и сайта по ответам сервера отличным от 200
CF не рекомендовал бы пользоваться если сайт для РФ так как очень много ip их в полном бане, и какой достанется сайту не известно, так как его можно узнать только после перехода на CF, и если он в бане то это ещё время что бы вернуть dns обратно, а это получается не плохое время недоступного сайта

"Проднижение" сайта через 100% отказ и попытки взлома. Что можно сделать?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт