global attack pada wordpress

Discussion in 'Masalah Teknik dan Keamanan' started by andhi, 13 Apr 2013.

Thread Status:
Not open for further replies.
  1. andhi

    andhi Hosting Guru

    Messages:
    1,678
    Likes Received:
    132
    Trophy Points:
    63
    lg iseng2 browsing, lg ada serangan besar2an untuk CMS wordpress ya ?

    thenextweb.com/insider/2013/04/13/brute-force-attacks-on-wordpress-continue-as-cloudflare-fends-off-60m-requests-in-1-hour/
     
    PusatHosting likes this.
  2. hostguin

    hostguin Expert 1.0

    Messages:
    701
    Likes Received:
    35
    Trophy Points:
    28
    betul, kemarin sempat kena jg, membuat server overload.
     
  3. andhi

    andhi Hosting Guru

    Messages:
    1,678
    Likes Received:
    132
    Trophy Points:
    63
    Overload krn jd botnet?
     
  4. hostguin

    hostguin Expert 1.0

    Messages:
    701
    Likes Received:
    35
    Trophy Points:
    28
    puluhan ip bahkan hostgator melaporkan sampai 90.000 ip yang melakukan serangan itu. dari proses manager whm akan muncul proses pada wp-login.php yang bersamaan, yang membuat load server akan melonjak sangat tinggi sampai akhirnya down.

    kalau mau baca beritanya di hxxp://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/
    di WHT juga rame, hxxp://www.webhostingtalk.com/showthread.php?t=1255387
     
    andhi likes this.
  5. rendy

    rendy Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,792
    Likes Received:
    240
    Trophy Points:
    63
    BennyKusman and andhi like this.
  6. izhoeld

    izhoeld Beginner 2.0

    Messages:
    55
    Likes Received:
    0
    Trophy Points:
    6
    sama, beberapa hari yg lalu juga kena
    pake modsec+csf lumayan ampuh buat mencegah serangan
     
  7. kudahitamnet

    kudahitamnet Poster 2.0

    Messages:
    177
    Likes Received:
    65
    Trophy Points:
    28
    Betul apa yang dikatakan kang Rendy.


    Pake WSecure Plugin untuk Wordpress, dan Jsecure untuk Joomla. Keduanya mendisable halaman login admin (wp-admin atau administrator) menjadi redirect ke site utama bila kita mengaktifkan plugin tsb.

    Jadi aksesnya menjadi sitekita(dot)com/wp-admin/?keyword atau sitekita(dot)com/administrator/?keyword

    Tambahan:
    - Di CSF coba ganti CT_LIMIT di firewall configuration jadi 50.
    (50 ini adalah jumlah IP yang terkoneksi dengan server kita)

    - Masih di firewall configuration, cari SYNFLOOD. Ganti:

    SYNFLOOD = "0"
    SYNFLOOD_RATE = "100/s"
    SYNFLOOD_BURST = "150"

    - Masih di firewall configuration, cari SYSLOG_CHECK. Masukkan angka 600 (ini membantu mencegah brute force ke server kita).


    restart csf + lfd

    Sumber: http://www.kudahitam.net/2013/04/rekomendasi-csf-setting-untuk-anti-ddos-attack/

    Mencegah lebih baik dari mengobati. CMIIW
     
  8. diskonlagi

    diskonlagi Beginner 2.0

    Messages:
    32
    Likes Received:
    1
    Trophy Points:
    8
    nice info nih, tapi bukannya bruteforce attack wordpress itu ada di port 80 ya? jika di limit bagaimana dengan legitimate traffic ke server tersebut? apa ke drop juga?

    bagaimana jika di set untuk parameter: net.netfilter.nf_conntrack_tcp_timeout_syn_recv=40
    dan menaikkan nilai net.ipv4.tcp_max_syn_backlog
    serta net.core.somaxconn
     
  9. kudahitamnet

    kudahitamnet Poster 2.0

    Messages:
    177
    Likes Received:
    65
    Trophy Points:
    28
    Maaf, 80 itu portnya Apache. :o
    Maksudnya ngelimit ini jika dalam interval tertentu ada IP yang massive ke server kita.
    Jadi selama tidak ada lonjakan IP tidak akan diblok.

    Di CSF → firwall configuration tu ada CT_PORTS.
    Maksudnya untuk melindungi port-port kita biar gak diserang. Sebaiknya dikosongin aja karena kalo kosong otomatis akan melindungi semua port, jangan di spesifik 25, 80, 2086, 7000 misalnya.

    Bisa juga sih, tapi jangan lupa edit IPtables-nya bro :o
    Tapi saya rasa, settingan CSF sudah cukup aman untuk antisipasi serangan ini.

    CMIIW
     
  10. BennyKusman

    BennyKusman Hosting Guru DWH Guardian Web Hosting (Company)

    Messages:
    2,234
    Likes Received:
    239
    Trophy Points:
    63
    SYNFLOOD = 0 bukannya artinya di disable ?

    CT_LIMIT di set 50 bakal terlalu kecil menurut saya, karena kalau yang pakai FTP pasti ke blok dengan cepat...
     
Loading...
Thread Status:
Not open for further replies.

Share This Page

Loading...