Важная проблема безопасности
В течение двух дней мы получили огромное число запросов, связанных с падением серверов, на которых были сайты, основанные на CMS WordPress и Joomla. Как выяснилось, данные падения связаны с перебором паролей на админ-панель сайта. Перебор паролей носит характер DDoSа, т.к. осуществляется многопоточно и с разных IP адресов.
В связи с этим, для безопасности и стабилизации работы сервера, как один из самых простых и эффективных вариантов, нужно установить http авторизацию на админ-панель Вашего сайта, следуя простой инструкции:
1) создать файл с названием ".htpasswd" в корне сайта и при помощи сайта www.htaccesstools.com/htpasswd-generator/ сгенерировать его содержание, указав желаемый логин и пароль.
2) для Joomla в файл ".htaccess" в папке /administrator/ добавить следующие строки:
AuthName «Access Denied»
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
для WordPress в файл ".htaccess" в корне сайта добавить следующие строки:
<Files wp_login.php>
AuthName «Access Denied»
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
где «полный_путь_до_корня_сайта» — это абсолютный путь от корня файловой системы.
например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd
3) проверить работу данной конструкции, попробовав зайти в админ-панель сайта.
Здравствуйте, уважаемый клиент!
Вы являетесь зарегистрированным пользователем хостинга SpaceWeb.
Уведомляем Вас, что нашими техническими специалистами были зафиксированы массовые атаки на сайты, работающие на основе таких CMS, как Joomla и Wordpress, с последующим взломом и получением несанкционированного доступа к управлению сайтом. Как удалось выяснить, на сегодняшний день подобным атакам подвергаются множество хостинговых компаний.
Во избежание несанкционированного доступа к Вашим ресурсам, а также для сохранения их стабильной работы было принято решение временно закрыть возможность входа в административную панель CMS Joomla и Wordpress.
мне часто задают вопрос, зачем пользоваться чужими сервисами, когда у тебя своих ресурсов дофига. ну, мне так проще. я больше верю яндексу, чем разным ДЦ. перестраховаться и все такое. и dns хостинг массовый я делать не буду, пока не буду уверен что он надежен.
просто отлично trash.alice2k.me/scr/2013-07-30_175655.png
можно даже дублировать на несколько акков таким способом.
если вдруг акк залочат по каким-то причинам. копия чтобы была. тем более 1 мес всего, не расточительно.
пфффф. в VK почти нету достойных групп. мусор один )
VK нужно использовать как общение с клиентами. а не для спама. не все это понимают. спам-акции нужно в твиттер постить, как и статуы всякие. а если глобальное — можно и в группах успокоить народ. пусть там флудят, а не в техподдержке.
кстати, прочитав этот пост, беру свои слова назад, что говно регистратор.
просто чел нуб оказался )) как будто не разу у него домены не отбирали.
домены живут в одном месте до самой смерти, пока на них не наедут. и всегда нужно иметь запасные.
Мэйлра в своем репертуаре — номер телефона +972 не подходит, СМС с подтверждением пришло сразу джве (разные), потом ошибка 500, теперь пишет красными буквами «Домен не подтвержден» (и пришло письмо, что все хорошо, но ссылка на управление в письме битая).
Наберут дебилов на работу, потом страдают неистово.
> По какой-то причине были изъяты ВСЕ сервера (а их весьма немало), а не только те, что проходят по расследованию.
я тут подумал, по какой.
просто сейчас канадская полиция тысячи сайтов себе скачает и все черные делишки будут у них.
пополнение базы для будущих расследований.
Интересно, а у меня они 3 штуки отберут, или оставят, или скажут 2 оплатить? :)
Помоему действительно пора валить из ВебДЦ, какой бы там ни был хороший канал.
где «полный_путь_до_корня_сайта» — это абсолютный путь от корня файловой системы.
например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd
3) проверить работу данной конструкции, попробовав зайти в админ-панель сайта.
можно даже дублировать на несколько акков таким способом.
если вдруг акк залочат по каким-то причинам. копия чтобы была. тем более 1 мес всего, не расточительно.
vk.com/ru_nic
vk.com/hostpro
vk.com/mchostru
vk.com/filancogroup
vk.com/club15564930
vk.com/club8413362
vk.com/deltahost
vk.com/tuthost
vk.com/spaceweb_ru
vk.com/club20461043
vk.com/diphost
vk.com/hostnes
vk.com/smartape
vk.com/unlimitstelecom
vk.com/sprinthost
vk.com/club11505469
vk.com/netangels
vk.com/club11150014
vk.com/valuehost
vk.com/club18791608
vk.com/ihcru
VK нужно использовать как общение с клиентами. а не для спама. не все это понимают. спам-акции нужно в твиттер постить, как и статуы всякие. а если глобальное — можно и в группах успокоить народ. пусть там флудят, а не в техподдержке.
Виджет этого списка, если кто-ниб захочет встроить на сайты.
еще трафик изменился
Так сказать критический взгляд alice2k.
можно собрать любой конфиг, даже б/у
просто чел нуб оказался )) как будто не разу у него домены не отбирали.
домены живут в одном месте до самой смерти, пока на них не наедут. и всегда нужно иметь запасные.
> Ровно 12 серверов по 1+1 Тб(рейд) на каждом под завязку забиты, поэтому 12Тб музыки
Наберут дебилов на работу, потом страдают неистово.
главное две вещи: чтобы дали отпуск, и чтобы дали денег :)
я тут подумал, по какой.
просто сейчас канадская полиция тысячи сайтов себе скачает и все черные делишки будут у них.
пополнение базы для будущих расследований.
Помоему действительно пора валить из ВебДЦ, какой бы там ни был хороший канал.