Host1 nede igjen

spikre

spikre

peterhamre.no
Kom tilbake nå. Dette var en annen feil enn den du referer til, Eggan...

På IRC skrives nå:
"Kort forklart så sendte en router/switch trafikken feil "vei"."
"En av host1's nettleverandører har hatt en ganske dårlig uke"

Samtidig som jeg klager på opptiden, så kan jeg ikke annet enn å skryte av serveren.
 
TorsteinO

TorsteinO

Art Director & grunder
spikre skrev:
Der forsvant 30 av mine nettsider .. Host1 har hatt en del nedetid i det siste, og i dag er ikke et unntak...
Merkelig nok er både mine og host1s egne sider nede, men webforumet er oppe. Tyder på at ikke hele system har falt ned i hvert fall. Bra for dere andre;)
Klikk for å utvide...

ja, jeg har/drifter også en drøss med nettsider på flere forskjellige servere hos dem, og ingen av disse har hatt noen større problemer. En god start er jo om alle som bruker wordpress installerer en eller annen form for bruteforce-beskyttelse, f.ex. limit login attempts, da vil jo selv et bruteforce-angrep som ellers kunne ha funka som et DOS-angrep bli stoppa raskt.
 
spikre

spikre

peterhamre.no
TorsteinO skrev:
ja, jeg har/drifter også en drøss med nettsider på flere forskjellige servere hos dem, og ingen av disse har hatt noen større problemer. En god start er jo om alle som bruker wordpress installerer en eller annen form for bruteforce-beskyttelse, f.ex. limit login attempts, da vil jo selv et bruteforce-angrep som ellers kunne ha funka som et DOS-angrep bli stoppa raskt.
Klikk for å utvide...

Kun 1/6 av mine nettsider kjører Wordpress. Det går for det meste i selvutviklet løsninger. Det er ikke det som påvirket her..
 
H

Host1

Medlem
Hei.

Vår nettverksleverandør sliter med litt problemer som følge av at en core-router krasjet her om dagen. Dette har resultert i noen andre problemer som har forårsaket korte dropp i nettet. De har teknikere på saken som jobber så hardt de kan med å fikse problemene. Vi oppdaterer på Home - Host1 / http://www.twitter.com/h1status fortløpende. Vi regner med at de får orden på dette innen rimelig tid.

Vi beklager eventuelle ulemper disse problemene medfører.
 
H

hvaer

Medlem
TorsteinO skrev:
ja, jeg har/drifter også en drøss med nettsider på flere forskjellige servere hos dem, og ingen av disse har hatt noen større problemer. En god start er jo om alle som bruker wordpress installerer en eller annen form for bruteforce-beskyttelse, f.ex. limit login attempts, da vil jo selv et bruteforce-angrep som ellers kunne ha funka som et DOS-angrep bli stoppa raskt.
Klikk for å utvide...

Start med limit login, og sjansen for at serveren går ned er ganske stor, uten at den beskytter siden din i det hele tatt. Dette BF-angrepet ble foretatt av over 90.000 ip'er som gikk etter wp-login.php, og for hver gang det var feil passord, så gikk maskinen videre(det ble ikke forsøkt mer en 1 gang per IP), så det eneste limit login kunne medført, var servertrøbbel.

Selvom Host1 anbefalte dette, så var det ikke noe godt tips i det hele tatt.

CALL A DEVELOPER: Global Wordpress Brute-force Attacks

Det som derimot hadde vært ett godt tips, er å begynne med cloudflare, fordi cloudflare isolerte det ganske raskt, og fjernet denne trafikken. Ett annet moment, er at man bør enten disable wp-login.php eller bytte navn på den.
 
TorsteinO

TorsteinO

Art Director & grunder
hvaer skrev:
Start med limit login, og sjansen for at serveren går ned er ganske stor, uten at den beskytter siden din i det hele tatt. Dette BF-angrepet ble foretatt av over 90.000 ip'er som gikk etter wp-login.php, og for hver gang det var feil passord, så gikk maskinen videre(det ble ikke forsøkt mer en 1 gang per IP), så det eneste limit login kunne medført, var servertrøbbel.

Selvom Host1 anbefalte dette, så var det ikke noe godt tips i det hele tatt.
Klikk for å utvide...
Det der stemmer ikke, det er bare å ta en titt i loggen. Til å begynne med lot jeg LLA stå på default, altså fire forsøk før en ip ble sperra, og da var det ofte fire forsøk fra samme ip på rappen. Det vil også være ekstremt mye mer effektivt å la samme maskin forsøke flere ganger, enn å bytte etter hvert forsøk, skal/må de bytte etter hvert forsøk vil det gå vanvittig mye tregere.

Jeg ser at de bytter *relativt* raskt etter at en ip blir sperret, men det er fremdeles en kjempeforskjell: Jeg har vel hatt hundre forsøk her i løpet av dagen på den ene siden nå etter at jeg bytta til max 1 feil før ip'en blir sperra, og uten å sperre ip'er kunne man kjapt hatt 100 forsøk i sekundet hvis de virkelig ville.

Selv med et passord på bare 6 tegn (da regner jeg bare med store+små bokstaver+tall+de tegnene som ligger "over" tallene, og egentlig er det jo enda flere muligheter) så snakker vi om nesten tre millarder mulige kombinasjoner.

Med hundre forsøk om dagen skal de ha ganske god tid eller ekstremt flaks. Med et litt lengre passord (jeg bruker 15 tegn nå...) blir tallene helt latterlige. Det viktigste er ikke å gjøre det umulig, men å gjøre det tungvint nok til at det ikke blir verdt det.

xkcd: Password Strength

CALL A DEVELOPER: Global Wordpress Brute-force Attacks

Det som derimot hadde vært ett godt tips, er å begynne med cloudflare, fordi cloudflare isolerte det ganske raskt, og fjernet denne trafikken. Ett annet moment, er at man bør enten disable wp-login.php eller bytte navn på den.
Klikk for å utvide...

Det aller beste tipset er egentlig å ikke ha admin som brukernavn i det hele tatt, siden det bare er det de går etter.
 
H

hvaer

Medlem
TorsteinO skrev:
Det der stemmer ikke, det er bare å ta en titt i loggen. .
Klikk for å utvide...

Selskapet jeg jobber for, har en host som søsterselskap, og jeg har bedrevet med support der den siste uken, og jo, det stemmer. De serverne som hadde nettsider med limit login, gikk alle ned. Men selvsagt, med døde servere så får man heller ikke sidene sine hacket. Men, man kan bli erstatningspliktig overfor host (vel og merke hvis host har laget ordentlige klausuler i sin TOS).

Når det kommer 500 ip'er og forsøker å logge inn samtidig på en nettside med limit login, så er det få servere som klarer å stå i mot.
 
zapotek

zapotek

Medlem
hvaer skrev:
Start med limit login, og sjansen for at serveren går ned er ganske stor, uten at den beskytter siden din i det hele tatt. Dette BF-angrepet ble foretatt av over 90.000 ip'er som gikk etter wp-login.php, og for hver gang det var feil passord, så gikk maskinen videre(det ble ikke forsøkt mer en 1 gang per IP), så det eneste limit login kunne medført, var servertrøbbel.
Klikk for å utvide...

Dette er bare tull. De fortsatt og fortsatt etter feil passord.

Hva gir størst sjanse for å ta ned serveren?

1. WPside med Limit login Attempts pluginet innstilt på utestenging etter 1 forsøk.

2. Wpside med ubegrenset antall innloggingsforsøk.
 
TorsteinO

TorsteinO

Art Director & grunder
Godt mulig at søsterselskapet deres er en host, men uansett stemmer det ikke. Da er det noe alvorlig galt med et eller annet i systemet deres.

1: Jeg har opptil 4 forsøk på rad fra samme IP i loggen min, flere ganger. Altså stemmer det definitivt ikke at de bytter til ny ip umiddelbart etter første forsøk uansett.

2: Etter at jeg byttet til utestengning etter 1 forsøk har de fortsatt å prøve, men hver ip kan nå bare prøve EN gang før de MÅ bytte.

3: De kommer ikke med 500 forsøk samtidig pr nettside, de kommer med ett om gangen (naturligvis - de har som mål å bryte passordet, ikke å kjøre et DDOS, så så store antall forsøk samtidig at de risikerer å krasje serveren ville ikke være hensiktsmessig for dem). Dette er også bare å titte i loggen.

Kombinasjonen av punkt 2 og 3 er uunngåelig at det VIL føre til færre forsøk pr tidsenhet, og DET vil igjen uunngåelig vil føre til mindre belastning på serveren. Hvis du ikke forstår såpass har du ingenting å gjøre på supporten.

Nei, LLA er ikke noen "bulletproof" løsning, men den bremser disse forsøkene såpass kraftig ned at selv et alt for kort passord vil ta årevis å bryte med mindre de har fordømt flaks eller man har valgt et eksepsjonelt dumt passord - altså noe der det er en stor sjanse for at de starter, f.ex. "000001".

Samtidig - dette forsøket GÅR faktisk bare etter kontoer som heter "admin", igjen av den enkle grunn at det er mer effektivt for dem enn det er å måtte finne ut av både passord OG brukernavn, så å bytte brukernavnet er faktisk i dette tilfellet en 100% bankers løsning. Derimot ser det ut til at hvis man bytter etter at de har begynt å prøve, altså at de har fått bekreftet at det er en "admin"-konto der, så fortsetter de faktisk å prøve på admin som brukernavn selv om det ikke lenger finnes.
 
Du må logge inn eller registrere deg for å svare her.
Topp