img zashita 1sef8e6fe55Доброго времени суток, уважаемые владельцы сайтов на Joomla! Как понятно из заголовка данной статьи, я расскажу о недавно начавшейся очень мощной брутфорс (brute force) атаке, во время которой идет перебор паролей для админок сайтов на Joomla и Wordpress (на многих форумах я встречал информацию о том, что атаки так же были и на другие популярные движки типа DLE, Битрикс и другие, но эта информация не была никем официально подтверждена).

Всё началось с того, что у многих пользователей начали сначала сильно тормозить сайты, а вскоре и вовсе отключились, ввиду огромной нагрузки на сервер, вызванной множественными подборами паролей. На всех популярных форумах десятками стали появляться темы о том, что у людей взламывают сайты или они просто переставали работать. При этом тех поддержка многих хостинговых компаний не отвечала - как выяснилось позже, они были очень загружены тысячами поступавших сообщений о неработоспособности сайтов, поэтому не смогли ответить всем вовремя.

Ботнет

Данное явление называется именно так - БОТНЕТ! Когда заражают Ваш компьютер или сайт, он то же присоединяется к атаке независимо от Вас. Вы даже можете и не узнать о том, что были взломаны, пока у Вас не начнутся проблемы с сайтами или компьютером.

В принципе, ботнет используют не только для брутфорс атаки по перебору паролей. Его могут использовать, например, для рассылки поискового спама или получения удаленного доступа к другому компьютеру (короче говоря - взлома). Более подробно я не буду расписывать об этих явлениях, так как Вы можете прочитать это в википедии, а я лучше расскажу, как с этим бороться.

Что делают хостеры при брутфорс атаке?

Когда начались атаки и начали тормозить и отключаться сайты, первое сообщение, которое я получил от своего хостера, было:

Уважаемые клиенты!

Уведомляем Вас о том, что в настоящее время, на сайты, созданные на основе CMS Joomla и Wordpress, производится brute force атака, подразумевающая перебор паролей к административным панелям данных CMS.

В связи с высокой активностью атаки и резким ростом нагрузки на сервера, средствами сетевого фильтра физического сервера было установлено ограничение на доступ ко всем URL адресам, включающим в свой состав «/wp-login.php» и «/administrator/index.php».

Данная мера является временной. Об окончании атаки и снятии ограничений мы обязательно уведомим Вас дополнительно.

Как видно из письма, хостеры блокируют доступ в админ панели сайтов Joomla и WordPress, что позволяет полностью убрать нагрузку с сайтов и вернуть их работоспособность. Однако, админка осталась нерабочей.
Что нужно сделать для защиты админки Joomla от брутфорс атаки?

1. Защита с помощью файла .htaccess

Итак, если хостинг уже заблокировал Вам доступ в админ панель сайтов, то не стоит отчаиваться, так как Вы можете вернуть себе его, прописав кое-что в файле .htaccess. Кроме того, этот способ работает и сам по себе, без блокировки хостингом. А теперь по порядку:
Заходите по FTP на свой сервер;
Создаете файл .htaccess;
В файле .htaccess нужно прописать вот этот код:


Order Deny,Allow
Deny from all
Allow from IP #Вместо IP укажите Ваш внешний IP адрес.


Залить данный файл в папку "Administrator" нужного Вам сайта. Главное, не забудьте прописать свой IP адрес.
Все! Теперь Вы имеете доступ в административную панель своего сайта и можете продолжать над ним работу.

2. Защита админки с помощью файлов: .htaccess и .htpasswd

Этот способ реализует так называемый "Двойной доступ" в админку. Более подробно в этой статье - Используем файл .htaccess для защиты сайта. Скрываем доступ к админке Joomla и убираем просмотр модулей через ?tp=1.

3. Установка сложного пароля и смена логина "admin"

Самое первое, что нужно сделать - это сменить логин "admin" на более сложный. Кроме этого, обязательно поставьте сложный пароль, чтобы программа не смогла его подобрать, даже если и получила доступ к админ панели.

4. Своевременная очистка файла логов на сервере

Дело в том, что если программа имеет доступ к Вашей админке, то простым перебором паролей она может забить файл логов буквально за несколько минут! Однажды я проморгал брутфорс атаку на один свой сайт и заметил проблему только тогда, когда сайт перестал работать. Я пошел смотреть логи и обнаружил, что файл логов для этого сайта весит целых 20ГБ!!! После очистки логов, сайт, естественно, заработал.

Так вот, для того, чтобы этого не происходило, Вам нужно поставить на данный файл ограничение, например, в 100 мегабайт. Это можно сделать в панели управления сервера (я использую ISP менеджер в работе) или написать с данной просьбой своему хостеру.

5. Использование компонента Brute Force Stop

Для Joomla сайтов есть специальный компонент, который автоматически определяет брутфорс атаку. Смысл его работы заключается в том, что он блокирует IP адрес при достижении определенного количества неудачных попыток входа в админку. Этот компонент сохраняет все данные в журнале, который Вы сами можете редактировать, например, удалить из его базы нужные IP адреса или добавить новые. Кроме того, Вы можете просмотреть все неудачные попытки входа в админку.

Когда закончится эта атака?

Теоретически, ботнет атака может никогда не кончиться, так как с каждым днем заражается все больше и больше компьютеров, которые присоединяются к общей атаке. Но в реальности я думаю, что это должно скоро завершиться при слаженных действиях хостеров и антивирусных компаний.

Я задал своему хостеру данный вопрос (напоминаю, что у меня сервер от REG.ru) и он ответил, что по завершении атаки будет произведена рассылка о том, что админки сайтов снова откроют и можно спокойно продолжать работу над своими сайтами. На момент написания статьи (а это 9 августа 2013 года) атака ещё идет..

__________________________________________________________________________________________________________________

скачать joomla | обновление joomla | модуль joomla | администрирование | seo продвижение | joomla магазиншаблоны сайтов

обратная связь 

При копировании материала ссылка на сайт joomla4.ru обязательна.