ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Автор: @Местный
Специально для античат

Всех приветствую! Решил написать небольшое руководство для пользователей, которые держат свой небольшой блог или форум. Поскольку данный форум индексируется в поисковиках, подумал хорошей идеей будет выложить именно сюда. Мой товарищ решил поднять небольшой wordpress блог duty-free.cc и заодно forum.duty-free.cc на xenforo и столкнулся с множеством проблем.

Конкуренты и другие недоброжелатели не дремлют. Постоянно пытаются вывести ресурс из строя. Поэтому важно было выбрать нормального хостера.

Защита блога wordpress

1. Не рекомендую устанавливать непроверенные плагины, рекомендую вообще плагины не устанавливать. Из-за них 90% проблем с безопасностью.

2. Отключите возможность оставлять комментарии. Мы оставили возможность оставлять комментарии и нас засорили полезными нагрузками для SQLI и XSS, около 160 полезных нагрузок было отправлено=) Даже, если версия не уязвима, зачем вам хранить лишний мусор на сервере и нагружать его.



3. Если регистрация в вашем блоге отключена, то заблокируйте путь к wp-login.php для всех ip, кроме разрешенных. Сделать это можно через cloudflare или веб-сервер. Если даже учетки от админки утекут злоумышленник не сможет авторизоваться, поскольку он не находится в вашей сети. Помимо wp-login.php мы можете блокировать всех, кто обращается к /wp-json/ чтобы никнеймы зарегистрированных пользователей были недоступны. Можно также запретить и другой функционал, чтобы если злоумышленник проник в админку не смог удалить ваши статьи и выложить свою вредоносную рекламу. Также отключите API, xmlrpc, чтобы защититься от брутфорс атак.

Вот вам небольшая шпаргалка. Примерно так можно настроить cloudflare.



4. Обрывать все соединения напрямую по ip адресу. Если вы этого не сделаете школьники будут заниматься примерно подобным=))

Идем в /var/log/nginx посмотрим сколько бомжик отправил запросов на наш сервер.

Неудивительно, что наш ресурс был недоступен.

Очистим логи. Зачем нам 11 миллионов бесполезной информации. Перед выполнением этой операции не забудьте отключить nginx, если вы под атакой. Теперь осталось запретить ему стучать напрямую по нашему ip.

Код:


Добавляем сюда пулл айпи адресов вашего CDN, я использую CF: https://www.cloudflare.com/ru-ru/ips/

После этого мой сайт заработал и злоумышленник перестал vCPU нагружать=)

5. Убедитесь, что у вас не торчат наружу порты или файлы в которых конфиденциальная информация например .env или .git.
6. Поставьте MFA на аккаунт администратора.

После проделанных действий атака частично остановилась. Теперь вместо миллионов запросов он отправлял пару штучек, поскольку средств на пркоси у него нет, мы просто взяли заблокировали айпи злоумышленника.

Код:



Также в дополнение хотелось бы рассказать, что в качестве CDN ранее мы использовали stormwall.pro. Хороший вещь, поддержка отвечает частенько. Но пришлось отказаться из-за стоимости, пока такая защита не нужна=)

Продолжение выйдет, когда нас продолжат атаковать.