ANTICHAT

ANTICHAT (https://forum.antichat.xyz/index.php)
-   Веб-уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=114)
-   -   Как мы отбивались от ddos-атаки и другой хакерской нечисти! (Заметка) (https://forum.antichat.xyz/showthread.php?t=584615)

Местный 07.02.2025 23:00
Автор: @Местный
Специально для античат

Всех приветствую! Решил написать небольшое руководство для пользователей, которые держат свой небольшой блог или форум. Поскольку данный форум индексируется в поисковиках, подумал хорошей идеей будет выложить именно сюда. Мой товарищ решил поднять небольшой wordpress блог duty-free.cc и заодно forum.duty-free.cc на xenforo и столкнулся с множеством проблем.

Конкуренты и другие недоброжелатели не дремлют. Постоянно пытаются вывести ресурс из строя. Поэтому важно было выбрать нормального хостера.

Защита блога wordpress

1. Не рекомендую устанавливать непроверенные плагины, рекомендую вообще плагины не устанавливать. Из-за них 90% проблем с безопасностью.

2. Отключите возможность оставлять комментарии. Мы оставили возможность оставлять комментарии и нас засорили полезными нагрузками для SQLI и XSS, около 160 полезных нагрузок было отправлено=) Даже, если версия не уязвима, зачем вам хранить лишний мусор на сервере и нагружать его.

https://forum.antichat.xyz/attachmen...8952159909.png

3. Если регистрация в вашем блоге отключена, то заблокируйте путь к wp-login.php для всех ip, кроме разрешенных. Сделать это можно через cloudflare или веб-сервер. Если даже учетки от админки утекут злоумышленник не сможет авторизоваться, поскольку он не находится в вашей сети. Помимо wp-login.php мы можете блокировать всех, кто обращается к /wp-json/ чтобы никнеймы зарегистрированных пользователей были недоступны. Можно также запретить и другой функционал, чтобы если злоумышленник проник в админку не смог удалить ваши статьи и выложить свою вредоносную рекламу. Также отключите API, xmlrpc, чтобы защититься от брутфорс атак.

Вот вам небольшая шпаргалка. Примерно так можно настроить cloudflare.

https://forum.antichat.xyz/attachmen...8953383107.png

4. Обрывать все соединения напрямую по ip адресу. Если вы этого не сделаете школьники будут заниматься примерно подобным=))

Идем в /var/log/nginx посмотрим сколько бомжик отправил запросов на наш сервер.

Код:
cat access.log | wc -l
Код:
11165004
Неудивительно, что наш ресурс был недоступен.

Код:
logrotate -f /etc/logrotate.d/nginx
Очистим логи. Зачем нам 11 миллионов бесполезной информации. Перед выполнением этой операции не забудьте отключить nginx, если вы под атакой. Теперь осталось запретить ему стучать напрямую по нашему ip.

Код:


Код:
ufw allow from 103.21.244.0/22 to any port 443
ufw allow from 103.21.244.0/22 to any port 80
Добавляем сюда пулл айпи адресов вашего CDN, я использую CF: https://www.cloudflare.com/ru-ru/ips/

После этого мой сайт заработал и злоумышленник перестал vCPU нагружать=)

5. Убедитесь, что у вас не торчат наружу порты или файлы в которых конфиденциальная информация например .env или .git.
6. Поставьте MFA на аккаунт администратора.

После проделанных действий атака частично остановилась. Теперь вместо миллионов запросов он отправлял пару штучек, поскольку средств на пркоси у него нет, мы просто взяли заблокировали айпи злоумышленника.

Код:
ufw deny from 45.148.10.111
Код:


Код:
ufw deny from 172.70.57.196
ufw deny from 45.84.107.33

Также в дополнение хотелось бы рассказать, что в качестве CDN ранее мы использовали stormwall.pro. Хороший вещь, поддержка отвечает частенько. Но пришлось отказаться из-за стоимости, пока такая защита не нужна=)

Продолжение выйдет, когда нас продолжат атаковать.

Местный 14.02.2025 23:09
Добрый день! Если даже вы отключили комментарии к статье, то пользователи могут оставлять комменты к отдельным картинкам просто добавив к url /image-1/ вместо "1" id картинки.

https://forum.antichat.xyz/attachmen...9559308563.png

Вот какой подарок вы получите

https://forum.antichat.xyz/attachmen...9559343460.png

Решить проблемы: Как удалить страницы вложений Attachment WordPress

или через cloudflare

https://forum.antichat.xyz/attachmen...9560096219.png

https://forum.antichat.xyz/attachmen...9560110403.png

Теперь злоумышленник не будет флудить комментариями и раздражать вас, а также поисковой робот не будет индексировать вложения.

Местный 01.04.2025 21:23
Владислав Хорохорин под ником BadB, решил вновь положить duty-free.cc, forum.duty-free.cc. Мне написал верстальщик что форум не доступен. Я сразу понял что это типичный ддос от badB по L7. Наш технарь выключил сервер, сменил A записи на гугла (отключил clear net) и снова включил сервер, который был ранее нагружен ботнетом. То есть он отключил clear, но TOR по-прежнему работает. Тяжело одновременно досить тор вместе с clear, уж больно много ресурсов надо на это тратить.

Ребята установили тор и продолжили верстать форум.

Вывод такой, устанавливайте на свои проекты tor, это еще одна возможность подключиться в случае ddos, истекшего сертификата, домена и т.д. Проще говоря тор как VNC хостера спасает, когда поломал ssh на сервере=)

Местный 17.06.2025 00:32
Еще добавлю одну фишку о которой некоторые могли не знать. Если вас ddos`ят и tor завершается по ошибке или просто завершается и onion линк не доступен вам стоит отредактировать конфиг.

Код:
systemctl edit tor@default
Код:


Код:
[Service]
Restart=always
RestartSec=5
Код:
sudo systemctl daemon-reload
Код:
sudo systemctl restart tor@default
Если будет tor завершаться, то спустя 5 секунд автоматически перезапустится. Пользуйтесь!

Местный 01.09.2025 22:32
Это был хороший опыт, но к сожалению мне надоели ддосы, вечные атаки, спам. Я не справился и проект у меня забрали. Вот что сделал админ:
  • Купил физический сервер
  • Грамотно все настроил
  • Натянул ddos-guard
По сути в первую очередь решают все связи и деньги. Если этого нет заддосить все еще легко, как бы ты не старался.

Спасибо тем, кто следил, подсказывал мне. Но увы есть человек который выполняет свою работу лучше меня.


Время: 22:38