Да кому я нужен!?
“Да кому я нужен!?”, фраза которую я очень часто слышу… от владельцев сайтов. Мол, зачем эти сложные пароли и уникальные логины? Кто будет меня ломать и зачем?
Ну, допустим, ты может и не нужен, но вот твой сайт… Этим утром я уже забанил больше сотни IP-адресов, с которых бот пытался подобрать пароль к одному моему сайту с посещалкой в 5-7 хостов в сутки. И если ты думаешь что это утро такое особо удачное, то нет. Каждый день ломают каждый мой сайт (и не только мой). Независимо от хостинга, полезности, посещаемости и прочего.
Даже если поставлю пустую CMS на домен, это поделие тоже начинают ломать если не на первый, так на второй день.
Арсенал, как правило, типовой.
1. Поиск уязвимостей и эксплоитов. Бот ходит по путям, где могут быть уже залитые кем-то скрипты, либо плагины с дырами в безопасности. Если найдёт, мало не покажется.
2. Подбор логина. Тут боту достаточно клацнуть по ссылке “Забыл пароль” и вводить любые типовые логины. Если админка ответит, что такого логина нет, просто вводится новый. И так до упора. Самый типичный логин для сайта на CMS WordPress (и не только) – admin. Следующий по популярности – доменное имя сайта.
3. Подбор пароля. Когда известен логин, можно начать перебирать пароли. При том, боты редко заморачиваются попытками входа через логинскрин. Чаще всего они тупо лезут через xml-rpc.php, созданный для связи с мобильным приложением WordPress. Т.е. плагины с каптчами делают сложнее жизнь только вам и вашим авторизованным пользователям, но не ботам.
Впрочем, тот же хостер Бегет этот скрипт блокирует по умолчанию. Из за чего я имел много неприятных моментов с техподдержкой. Я-то приложением пользуюсь!
Ты спросишь, зачем ботоводу доступ к твоему сайту?
- Его можно продать.
- Сайт можно использовать для генерации фишинговых страниц, чтобы выуживать у пользователей пароли от личных кабинетов в банках и реквизиты банковских карт.
- Можно размещать противозаконный контент. Ведь отвечать за него будешь ты, а не они.
- Можно использовать сайт как прокси для взлома новых сайтов, для скликивания рекламы, DDoS-атак и прочей дряни.
- Можно поднимать автоматизированную сеть доров для накачки ссылочного веса на нужные страницы.
В общем осознай уже, что на взломанные сайты есть спрос. Тем более, что себестоимость там смешная. Нужен лишь сервер (сойдёт потрёпанный ноут, собственный комп или даже старенький смартфон), прокси-лист (список доступных, в т.ч. бесплатных, прокси-серверов, чтобы ломать не со своего IP) и, собственно, бот (коих можно найти готовых на любой вкус и цвет).
И всё. Врубил и пошёл заниматься своими делами. Уж кого-нибудь боты поломают. Похожим образом поступают и с учётками в соцсетях, с электронной почтой и прочим. Но это уже совсем другая история.
Что делать?
Бороться с этим явлением… бесполезно. Ломали, ломают и будут ломать. Интернет, он международный. А значит ломать твой сайт может житель какой-нибудь нищей страны, для которого подобный заработок – способ выжить, а то и вовсе стать богачом по местным меркам.
Но можно усложнить жизнь подобным… А вот и не скажу это слово.
Для начала, ставим плагин WP Cerber. Это если у тебя сайт на WordPress.
- В настройках плагина закрываешь доступ к xml-rpc.php и всему прочему, чем не планируешь пользоваться.
- Время блокировок выкручиваешь на побольше.
- Включаешь блокировку при вводе неправильного логина.
- Отключаешь сообщения о том, что такого пользователя нет.
Почитай пункты в настройках. Там есть русская локализация. В принципе, уже это даст фору при защите сайта.
Далее! Идёшь в список пользователей WordPress и создаёшь нового пользователя с зубодробительным паролем и таким-же нечитабельным/незапоминабельным логином. Обязательно прописываешь ему какое-нибудь имя и выбираешь его в качестве отображаемого. Иначе под твоими постами будет показываться логин, а бот только этого и ждёт.
Наделяешь этого пользователя правами админа, заходишь под ним в админку и удаляешь старого пользователя. При удалении связываешь его записи с новым пользователем. Там есть такой пункт. Просто не пропусти его.
Можешь написать собственный скрипт, чтобы баннить IP-адреса всяких засранцев уже перманентно, а не на какое-то время, как это делает Cerber.
И, напоминаю про регулярные бэкапы. Впрочем, тот же Бегет делает это сам, что удобно, не скрою.
Этим утром я прошёлся по сайтам и как раз отключил показ сообщения о том, что пользователь не существует и ещё пару всякого по мелочи сделал.
Тут же словил кучу сообщения на тему новых забанненых.
Не думай о том, надо ты кому или нет. Ботам однозначно надо и, при том, всегда. И им не лениво годами пытаться перебирать пароли твоей админки. Они не устают и не скучают. Они даже думать не умеют.
Четверг – будний день. Так что, основная задача – актуализация автотестов.
Во время прогонов продал акцию Робингуд Групп. Сразу после их выхода на рынок, акции стоили 1000$ за штучку, но примерно в этот же день упали почти до 60$. Правда периодически дёргались между 20$ и 100$, так что одну прикупил.
На следующий день акция подорожала до 70$, но я ожидал 100$ и сделал глупость – не поставил стоп-лимит. В результате, акция быстренько подешевела до 40$ и я словил убыток.
Сегодня акция стоила 45$, так что я поставил-таки стоп-лимит и акция продалась. Чистый убыток составил примерно 16$. Вывод: новые акции, если уж покупаешь, нужно сразу стопорить стоп-лимитом. И двигать его следом за их ростом. Ну а если будут падать, то -5$ всё-таки дешевле чем -16$.
Банк уведомил о перевыпуске карты. Мол, можно ехать забирать. При том, адрес для меня абсолютно неудобный. И выбрать его было нельзя.
Зато теперь – можно, но для этого карту нужно перевыпустить снова. Всего за 300 рублей. Коммерсанты-маркетологи, ытить! Ну ок. Потому, что так всё-равно дешевле, чем переться в те… места.
В итоге, информация о перевыпуске вообще пропала из личного кабинета. Потом пришло сообщение, что выбранный филиал закрывается. Ближайший к нему тоже не близко. Там вообще мало филиалов. Но самый сок оказался чуть позже, когда я решил посмотреть график работы.
Представляешь, там воскресение – выходной. И никакой возможности заказать карту курьером. Даже за деньги. Т.е. тащись к ним только тогда, когда удобно им, а не тебе.
Ты спросишь: “Что это за банк такой клиентоориентированный”? Извини, но пока этот момент промолчу. Пусть будет интрига.
В общем, план прост. Лучше не забирать перевыпущенную карту пока совсем не припрёт. Точнее не “пока”, а “если”. Ею можно пользоваться для оплат онлайн. Лучше не пользоваться вовсе. Это был бы идеальный вариант.
Во время обеда, можно сделать много разной ерунды. Например, перемещая фотографии после вчерашнего бэкапа, обнаружил эту.
Смотри, какая большая скидка. Более того, в ситилинке такой стоит гораздо дороже. А вот на яндекс.маркете – дешевле на 159 руб. Модель та же.
Заказал по двум причинам.
- Что ртутный, что электронный термометры почему-то показывают порой странную температуру. Нужна третья сторона.
- Очень уж интересно потестировать этот прибор. При том, не только на людях.
Утро мелких растрат, ытить.
День и вечер прошли в мыле и в трудах. Прервался дважды. Даже трижды.
Первый раз, когда попытался отчистить ванну от желудёвых пятен с помощью парогенератора. В рекламе говорилось, что мол всё отчистите безо всяких моющих средств. Так вот, брехня это. Если и чистит, то невооружённым глазом это незаметно.
Второй – когда прошли погулять вместе с Л., а очнулись с кучей сумок с продуктами. Так получилось.
Ну и третий, когда ужинал арбузом, котлетами и пюре.
В остальное время тружусь-спешу. Сегодня опять регресс. Значит завтра нас ждёт ещё один бесполезный и нервотрепительный день.
Напишите комментарий