+ Rispondi alla Discussione
Risultati da 1 a 16 di 16

Urgente Attacco DDOS?

Ultimo Messaggio di Taffarel il:
  1. #1
    User Newbie
    Data Registrazione
    Jun 2016
    Località
    Firenze
    Messaggi
    7

    Urgente Attacco DDOS?

    Salve in pratica sulla schermata degli accessi del sito,vedi dei warning del plugin di tanti IP che cercano di accedere a pagine inesistenti ecco:

    Chicago,United States left [pagina sito] and tried to access non-existent page [pagina inesistente]
    29/6/2016 15:25:11 (8 seconds ago) IP: [block] Hostname: c-69-246-244-64.hsd1.il.comcast.net
    Browser: Chrome version 51.0 running on Android
    Mozilla/5.0 (Linux; Android 5.0; STUDIO ENERGY 2 Build/S0090UU) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.81 Mobile Safari/537.36


    Sono attacchi ddos??Di continuo lo fanno
    Cosa posso fare?

  2. #2
    User L'avatar di Riccardo79
    Data Registrazione
    Aug 2013
    Località
    Genova
    Messaggi
    75
    Segui Riccardo79 su Twitter Aggiungi Riccardo79 su Google+
    Potrebbe essere un tentativo di enumerazione dei plugin... Ci sono script che prendono il database di tutti i plugin di WP e cercano se sono installati su un determinato sito.
    Se riescono a scoprire quali sono i plugin installati e le loro versioni, un malintenzionato può tentare un attacco al sito.
    Tieni sempre tutti i plugin aggiornati e magari installa un plugin di sicurezza con firewall tipo "All in one WP Security & Firewall".

    Ciao

  3. #3
    User L'avatar di salvatore79
    Data Registrazione
    May 2010
    Località
    Rende
    Messaggi
    327
    Installa e configura iThemes Security, tra l'altro possiede un filtro preimpostato che banna progressivamente gli IP che provano a fare questi accessi... prova e vedi come va.

  4. #4
    User Newbie
    Data Registrazione
    Jun 2016
    Località
    Firenze
    Messaggi
    7
    Grazie per le risposte ma non credo sia un attacco DDOS,mi continua il plugin Wordfence scan a dare questo tipo di errori:

    Copiate e incollate il link(non mi fa inserire l'immagine): i.imgur.com/kPOD2jb.png

    Il bello è che alcune volte l'ip è anche il mio...
    In pratica ogni volta che un utente accede sul mio sito genera questo tipo di "warning" nel live traffic del plugin Wordfence.
    Tutte nella cartella uploads,centinaia di volte al giorno..

    P.s=scusate il ritardo della risposta ero in vacanza.
    Ultima modifica di IlCinico; 08-07-16 alle 15:32

  5. #5
    User L'avatar di Riccardo79
    Data Registrazione
    Aug 2013
    Località
    Genova
    Messaggi
    75
    Segui Riccardo79 su Twitter Aggiungi Riccardo79 su Google+
    Ma sono tutte immagini le pagine inesistenti? Almeno questo sembra dallo screenshot che hai mandato...
    E, soprattutto, nei tuoi media ci sono immagini dal nome "simile" a quello indicato nei log?

  6. #6
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    323
    Ciao, disattiva il Live traffic, consuma enormi quantità di risorse Server (suggerito anche da Wordfence per Hosting condivisi).
    Lo puoi attivare periodicamente, quando hai tempo e voglia di analizzare.

    Puoi anche provare a utilizzare iThemes Security al posto di Wordfence, come suggerito da salvatore79.
    Personalmente li ho usati entrambi e alla fine li ho abbandonati entrambi per "Shield WordPress Security", puoi scaricarlo a questo link: it.wordpress.org/plugins/wp-simple-firewall
    Per mia esperienza quindi per quel che può valere, ti da un ottimo livello di protezione, molto semplice da configurare, a differenza di Wordfence non ti intasa il database e non richiede risorse esagerate.

  7. #7
    User Newbie
    Data Registrazione
    Jun 2016
    Località
    Firenze
    Messaggi
    7
    Citazione Originariamente Scritto da Riccardo79 Visualizza Messaggio
    Ma sono tutte immagini le pagine inesistenti? Almeno questo sembra dallo screenshot che hai mandato...
    E, soprattutto, nei tuoi media ci sono immagini dal nome "simile" a quello indicato nei log?
    Si sono immagini e sono le immagini che ho caricato negli articoli,se vado nella cartella wp-content/uploads con filezilla le trovo tranquillamente...non capisco perché danno errori.
    Citazione Originariamente Scritto da hub Visualizza Messaggio
    Ciao, disattiva il Live traffic, consuma enormi quantità di risorse Server (suggerito anche da Wordfence per Hosting condivisi).
    Lo puoi attivare periodicamente, quando hai tempo e voglia di analizzare.

    Puoi anche provare a utilizzare iThemes Security al posto di Wordfence, come suggerito da salvatore79.
    Personalmente li ho usati entrambi e alla fine li ho abbandonati entrambi per "Shield WordPress Security", puoi scaricarlo a questo link: it.wordpress.org/plugins/wp-simple-firewall
    Per mia esperienza quindi per quel che può valere, ti da un ottimo livello di protezione, molto semplice da configurare, a differenza di Wordfence non ti intasa il database e non richiede risorse esagerate.
    Grazie dei consigli,mi adopererò a cambiare plugin.
    Ultima modifica di IlCinico; 08-07-16 alle 16:03

  8. #8
    User Newbie
    Data Registrazione
    Jun 2016
    Località
    Firenze
    Messaggi
    7
    Ho notato una cosa..

    Le immagini in wp-content/uploads le trova con Filezilla...solo che sono diverse in "live traffic" dalle pagine inesistenti nel nome,in live traffic come da immagine: i.imgur.com/kPOD2jb.png

    Aggiunge un @2x alla fine a tutte le immagini,credo per questo siano inesistenti,cosa potrebbe essere?
    --------------------------------------------------------------------------------------------------------------------------AGGIORNAMENTO E FORSE SOLUZIONE-----------------------------------------------------------------------------------------------

    Il problema sembra che sia dato dal fatto che non siano presenti le immagini Retina(@2x) e quindi mi dà errore.

    Ho trovato questo codice su internet da mettere in htaccess,in pratica re-indirizza le immagini retina nelle immagini normali,secondo voi funzionerà?


    #QH MOD BEGIN
    #This block of code needs to go above your Wordpress rules
    <IfModule rewrite_module>
    #This is to short circuit non existent Retina image requests generated by retina.js
    # without this, the whole wordpress 404 stack will be executed which is very expensive
    # We simply redirect the request to the non @2x version of the file, if one exists, otherwise, send a 404 status
    RewriteEngine on
    RewriteBase /
    RewriteCond %{REQUEST_FILENAME} @2x\.[a-z]+$
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^(.*)@2x(.*)$ $1$2 [E=QHNORETINA:1]
    RewriteCond %{ENV:QHNORETINA} 1
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule .* - [L,R=404]
    </IfModule>
    #QH MOD END
    Ultima modifica di IlCinico; 08-07-16 alle 16:24

  9. #9
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    323
    Citazione Originariamente Scritto da IlCinico Visualizza Messaggio
    Aggiunge un @2x alla fine a tutte le immagini,credo per questo siano inesistenti,cosa potrebbe essere?
    Tutte le immagini, png, jpg etc, con prefisso @2x sono richiamate quando il dispositivo, Mobile o Desktop, è Retina.
    In sintesi, se ti colleghi con un iPhone 6, MacBook Retina, etc, al posto di pippo.png verrà ricercata l'immagine
    Codice:
    pippo@2x.png
    che è di dimensioni e risoluzione "doppia" per adattarsi al meglio a un display di elevata risoluzione.

  10. #10
    User Newbie
    Data Registrazione
    Jun 2016
    Località
    Firenze
    Messaggi
    7
    Citazione Originariamente Scritto da hub Visualizza Messaggio
    Tutte le immagini, png, jpg etc, con prefisso @2x sono richiamate quando il dispositivo, Mobile o Desktop, è Retina.
    In sintesi, se ti colleghi con un iPhone 6, MacBook Retina, etc, al posto di pippo.png verrà ricercata l'immagine
    Codice:
    pippo@2x.png
    che è di dimensioni e risoluzione "doppia" per adattarsi al meglio a un display di elevata risoluzione.
    Si con un po' di ricerche ci sono arrivato...il problema è che ora non ho le immagini retina e vorrei eliminare tutti quei re-indirizzamenti con errore..
    Il codice sopra in htacess non funziona purtroppo...

  11. #11
    User Newbie
    Data Registrazione
    Jun 2016
    Località
    Firenze
    Messaggi
    7
    Ma è un male tutti questi re-indirizzamenti?
    Cioè posso lasciarlo anche così senza immagini retina o possono esserci problemi di caricamento con tutte queste richieste a pagine inesistenti?

    Perché non trovo soluzioni,l'unica è lasciare tutto com'è con queste richieste a pagine inesistenti continue...però non vorrei causasse problemi.

  12. #12
    hub
    hub è online
    User
    Data Registrazione
    Apr 2015
    Località
    Varese
    Messaggi
    323
    Molti temi per WP permettono di disattivare la funzione Retina.
    Se così non è, con un po' di pazienza dovresti riuscire a trovare il file js che si occupa di caricare le immagini @2x.
    Potresti anche avere un tema che gestisce la funzione Retina con le Media Queries, qualcosa del genere:

    Codice:
    @media
    only screen and (-webkit-min-device-pixel-ratio: 2),
    only screen and (   min--moz-device-pixel-ratio: 2),
    only screen and (     -o-min-device-pixel-ratio: 2/1),
    only screen and (		 min-device-pixel-ratio: 2),
    only screen and (			min-resolution: 192dpi),
    only screen and (				min-resolution: 2dppx) {
    
    
    .esempio-classe-1{
    background-image: url(../images/retina-01@2x.jpg);	
    }
    .esempio-classe-2{
    background-image: url(../images/retina-02@2x.jpg);	
    }
    
    
    }
    In questo caso ti basterà commentare tutti i blocchi nel tuo CSS.

  13. #13
    User Newbie
    Data Registrazione
    Jun 2016
    Località
    Firenze
    Messaggi
    7
    Grazie hub,riccardo79 e salvatore79 per le vostre risposte.

    Finalmente son riuscito a risolvere il problema,semplicemente ho scaricato il plugin WP Retina 2X che permette di creare e rigenerare le immagini retina se non presenti.
    Ho rigenerato tutte le immagini e ora se clicco sulle pagine inesistenti in cui provavano ad accedere,non comprare più un errore 404 ma l'immagine retina.
    Risolto

    Ora come consigliato da hub e salvatore79 cambio Wordfence con altri plugin,in caso di problemi aggiorno o apro nuovo thread.
    Grazie ancora.

  14. #14
    User Newbie L'avatar di Taffarel
    Data Registrazione
    Dec 2015
    Località
    Roncade
    Messaggi
    7
    Ciao a tutti! Sono newbie di nome e di fatto! Mi servirebbe davvero l'opi e consiglio da parte di chi davvero se ne intende.
    Ho realizzato il restyling del sito di mio marito con wordpress (prima era in html e l'avevo fatto sempre io ma era ora di cambiare aspetto e funzionalità e davvero non ho sufficienti competenze html per farlo come volevo).


    Ho letto molto e fatto tutto ciò che potevo per la sicurezza.
    lo standard:
    - username e password admin complesse
    - eliminato i suggerimenti "wrong user, wrong password" dal login
    - aggiunto recaptcha di Google al login form (che non serve a nulla )
    - ...
    ed ho installato un plugin per la sicurezza: Wordfence
    mi sono letta punto per punto come settarlo.
    Settimanalmente mi manda riepilogo ed ogni tanto vedo che blocca degli ip che hanno cercato di accedere senza successo.
    E fin qui tutto ok


    Ecco il problema:
    da questa mattina all'01:17 credo essere sotto attacco
    ricevo centinaia di email dal plugin che mi avvisano che l'ip x.xx.xx... è stato bloccato per tentativo di accesso con username errato
    Esempio corpo email:
    A user with IP address 58.179.189.126 has been locked out from the signing in or using the password recovery form for the following reason: Used an invalid username 'test' to try to sign in.
    User IP: 58.179.189.126
    User hostname: 126.286.dsl.mel.iprimus.net.au User location: Melbourne, Australia


    alle 06:00 sono entrata nel sito ed ho modificato i parametri di blocco rendendoli ancora più restrittivi (meno richieste + tempo più lungo) così non ricevo 100 email al minuto (motivazione più pratica che altro )


    Inoltre ho rilevato che molti ip che il plugin mi dice non umani, hanno cercato pagine che non esistono più o che non sono mai esistite, e quindi li ho bloccati manualmente.


    Il live traffic a tuttora mi mostra continuamente ip da tutto il mondo che cercano di accedere in continuazione
    Esempio
    Lahore, Pakistan was blocked by login security setting. at miosito.ext/login.php (ho sostituito il nome perchè non mi pare rispettoso fare pubblicità)
    16/8/2016 11:11:09 (31 seconds ago) IP: 110.36.84.86 unblock Hostname: WimaxUser36184-86.wateen.net
    Browser: Firefox version 0.0 running on Win7
    Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1

    ho fatto anche delle ricerche con whois in alcuni casi tipo ip Italiani ....


    Detto ciò, sperando di aver fatto abbastanza e che sto bot non riesca a trovare una breccia: ma quanto dura? Va avanti all'infinito? A cosa gli serve cercare di craccare un sito poco importante come il mio?


    C'è modo di liberarmi di sta cosa? Magari in maniera veloce?


    grazie mille a ci può rispondermi!

  15. #15
    User L'avatar di Riccardo79
    Data Registrazione
    Aug 2013
    Località
    Genova
    Messaggi
    75
    Segui Riccardo79 su Twitter Aggiungi Riccardo79 su Google+
    Ciao Taffarel
    Ci sono passato anche io ed è fastidioso... l'unico consiglio che mi sento di darti è il seguente.

    Se il tuo sito è ospitato su server Linux puoi modificare il file .htaccess in modo che la pagina di login tuosito.it/wp-login.php diventi qualcosa del tipo: tuosito.it/pagina-di-accesso. Wordfence dovrebbe avere un'opzione da qualche parte per fare questo in automatico.

    Se invece è su di un server IIS (Windows) devi modificare il file web.config (ma dev'essere fatto a mano, e da un webmaster esperto, perché un minimo errore renderebbe tutto il tuo sito inaccessibile).

    Questo è l'unico modo per arginare il fenomeno, visto che i bot tentano di accedere alla pagina wp-login.php, se le cambi nome ricevono un errore 404 e tu non ricevi più centinaia di mail al giorno.
    In ogni caso fa' un backup del sito prima di fare queste modifiche, non si sa mai...

    Buon lavoro

  16. #16
    User Newbie L'avatar di Taffarel
    Data Registrazione
    Dec 2015
    Località
    Roncade
    Messaggi
    7
    Ciao Riccardo79, grazie per la risposta avevo pensato di cambiare la pagina del login (avevo letto la cosa online) ma da stupida l'avevo lasciata come ultima cosa...noi newbies...
    il sito nuovo non era ancora finito eccccchediamine...
    e non volendo apportare modifiche importanti mentre era in corso sta rottura, ho pensato di provare comunque a rendergliela più complicata... ho messo il recaptcha sul login form. Non so se sia stato quello ma dopo poco ha smesso.
    ho fatto un po di scansioni online del dominio e mi hanno dato tutte che il sito risultava non infetto, ho controllato link in/out e non ho trovato nulla di insolito....speriamo bene


    Ciao e grazie ancora

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.