Огромное спасибо за DDoS атаку!

Здравствуйте, Евгений Михайлович !

Меня зовут Александр Азаров, я
Заместитель руководителя службы технической поддержки компании Teli!

Прежде всего, я хотел бы лично поблагодарить Вас за выбор нашей компании.

Данное письмо было направлено Вам мною в связи с тем, что службой системного администрирования нашей компании зафиксирована мощная DDoS-атака http://ru.wikipedia.org/wiki/DDoS на наше оборудование, включая сервер, где располагается Ваш аккаунт.

Начало атаки: 02.08.2013
Типа атаки: BruteForce (перев. «Грубая сила» — получение несанкционированного доступа путем простого подбора пароля).

Атака осуществляется ботнетом http://ru.wikipedia.org/wiki/%D0%91%D0%BE%D1%82%D0%BD%D0%B5%D1%82 из более чем 10.000 ботов (зараженные троянами компьютерные системы, управляемые удаленно злоумышленниками).

К сожалению при таком типе атак, её успешность почти полностью зависит от бездействия каждого конкретного пользователя размещающего CMS WordPress или Joomla без должной защиты их админок, которых оказалось большинство.

С нашей стороны были предприняты меры по блокированию IP адресов с которых осуществляется атака, но проблема в том, что обычный вход в админку почти ничем не отличается от попытки входа ботом, поэтому при таком типе фильтрации есть большая вероятность блокировки IP-адреса абонента. Кроме того все просочившиеся сквозь фильтр боты не встречая никакой дополнительной защиты и дальше пытаются подбирать пароли от админок, что в итоге вызывает устойчивое потребление ресурсов.

При этом каждое обращение к админке joomla или WrodPress потребляет небольшое количество ресурсов, но с частотой более 1000 раз в секунду на всех известных ботам сайтах, может исчерпать все ресурсы практически любого сервера.

Возможно Вы уже заметили, что имеют место проблемы доступности или даже блокировки Вашего аккаунта «11403.aqq.ru» — это и есть последствия такой атаки.

В целях противодействия атаке и снижения общего уровня нагрузки, а так же частоты срабатывания блокировок за превышение лимитов на системные ресурсы, специалистами нашей компании было принято решение в принудительном порядке закрыть доступ на всех сайтах к админкам по их стандартным путям и названиям, а именно:

Все папки с именем:

сайт.ру/wp-admin/
сайт.ру/administrator/

а так файлы с именем:

wp-login.php

В: Что это значит?
О: Это означает, что при обращении к любой стандартной админке Joomla и WordPress они не будут открываться вызывая ошибку. Веб-сервер отвечающий короткой ошибкой тратит на такой ответ в десятки раз меньше ресурсов чем на проверку пароля, в результате доступность большей части сайтов на данным момент восстановлена.

В: А как мне тогда попасть в свои админки?
О: Только путем переименования этих папок/файлов в другие имена известные только Вам.

В: А как мне это сделать?
О: Обратитесь к Вашему специалисту или на соответствующий тематический форум/конференцию по Вашему движку, так же рекомендуем изучить материал по ссылкам указанным в конце письма, где приводится множество примеров по защите.

В: Насколько долго продлится такая блокировка?
О: Как минимум до полного окончания атаки, что к сожалению известно только злоумышленникам её запустившим.

В: Я вообще не специалист и не хочу ничего делать!
О: Тогда у нас для Вас печальные новости, по статистике Joomla и WordPress самые взламываемые движки, их архитектура такова, что взломав даже любой плагин написанный любителем можно получить доступ к админке и дальше делать с сайтом что угодно, например: разослать спам от Вашего имени, устроить на Вашем сайте рассадник вирусов, сообщить всему миру что «здесь был Вася Пупки» и т.п. что в итоге приведет к попаданию Вашего сайта в черные списки поисковых систем, а так же блокировку с нашей стороны.

В: А что надо было делать раньше, что бы защитить админку?
О: Защитить админку можно различными способами от указанного выше переименования, до закрытия файлом .htaccess с доступом только по IP адресу, за подробностями методов защиты лучше обратится к своему программисту или иному специалисту отвечающему за Ваш сайт, т.к. такой объем знаний не вместить в одном крохотном письме. Так же следует регулярно (от 1 раза в неделю) обновлять движки и их плагины, т.к. частота их взлома и нахождению в них дыр к сожалению слишком высока.

В: А у меня VPS меня это не касается?
О: Блокировка установлена только на тарифных планах виртуального хостинга, но к сожалению эта атака может коснуться и Вас, т.к. и на VPS и даже на выделенном сервере могут закончиться ресурсы.

В: У меня нет WordPress иил Joomla на аккаунта
О: Тогда Вам повезло, но это не значит что завтра не начнется подобная атака на админку Вашей CMS, поэтому лучше всего изучить профильный конференции и заранее обезопасить себя от атак подбора пароля, не выставляя админку в открытом доступе

В: Вот у меня на хостинге А и у Пети на хостинге Б все работает, а у Вас нет!
О: Проблема очень глобальная и коснулась практически каждого хостера, варианты решения проблемы очень различны в зависимости от мощности атаки и возможностей по защите.

Для более детального понимания сути вопроса и того что Вы далеко не одни, настоятельно рекомендуем прочитать следующие темы:

http://forum.searchengines.ru/showthread.php?t=805626
http://forum.searchengines.ru/showthread.php?t=805635

Я еще раз искренне благодарю Вас за выбор нашей компании. Наш коллектив будет всегда счастлив видеть Вас среди наших абонентов.

Спасибо за Ваше терпение и понимание.

С уважением,

Александр Азаров
Заместитель руководителя службы технической поддержки компании Teli