Brute force attack na mój serwer

Scenariusz niczym z filmu… . Nie sądziłem że którakolwiek ze zrobionych przeze mnie stron internetowych stanie się celem tak zmasowanego ataku, a jednak. Piękny weekendowy poranek, pełen nadziei że odpocznę. Piję kawę i sprawdzam skrzynkę mailową, a tutaj ostrzeżenie od administracji serwera o przekroczeniu limitu zapytań w ciągu doby do baz danych na jednym z moich serwerów.

email od nazwy

Czyżby ogólnopolska kampania reklamowa w TV u jednego z klientów spowodowała nagły ruch na stronie? Raczej wątpię.

Pierwsze co to sprawdzanie logów z serwera i już tu zaskoczenie. Plik choć przecież tekstowy był tak duży, że  po mimo całkiem dobrego kompa na którym pracuję to ulubiony edytor HTML – Atom nie dawał rady go otworzyć. Jednak po kilku zabiegach udało się. I oto pierwsze logi:

Logi z serwera XML RPC

Czyli atak na jakże diabelnie użyteczny protokół XML-RPC w Wrodpressie, nie znam osoby która by z tego korzystała. Zablokowanie dostępu do niego na poziomie serwerowego .htaccess zajęło mi kilka minut, po czym w logach błędów widziałem sypiące się pięknie access denied. Jednak wektorem ataku nie był jedynie nieszczęsny protokół XML-RPC, ale również tradycyjnie wp-login.php czyli strona logowania w WordPressie:

Logi z serwera Marzec

No więc poszło najszybsze rozwiazanie, czyli blokowanie dostępu dla IP.

Pomogło. Jednak wiedziałem że po tym jak ktoś zobaczy 403, zmieni IP w ciągu kilkunastu minut. Dlatego traktowałem to jedynie jako rozwiązanie tymczasowo blokujące atak. Oczywiście na każdej stronie (po za mocnym 14 znakowym hasem składającym się z dużych i małych liter oraz znaków specjalnych) były zabezpieczenia ograniczające ilość prób logowania w ciągu godziny, oraz popularne kody Captcha od Google, ale mimo to ataki trwały dochodząc w szczycie do KILKUNASTU PRÓB LOGOWANIA NA SEKUNDĘ!!!

I pod koniec garść statystyk z marca 2018:

Statystyki nazwa

Większość pochodzi z nieznanego źródła UNKNOWN i choć średnia odwiedzin plasuje się w granicach 25 tysięcy na miesiąc (z Polski) to zdarzały się już miesiące gdzie było ponad 100 tysięcy „odwiedzin” ze Stanów Zjednoczonych, Chin, Francji czy Rosji.  Marzec jak widać był inny ponieważ większość „wizyt” była ze źródła nieznanego UNKNOWN które w poprzednich miesiącach nigdy nie przekraczało statystycznych 10%. No ale z drugiej strony, co za problem w dzisiejszych czasach użyć VPNa, czy proxy?

obciążenie serwera

Jak widać ciągłe wałkowanie tematu o konieczności aktualizowania oprogramowania i używania „bezpiecznych” haseł bierze się z właśnie takich sytuacji. Na szczęście w tym ataku obyło się bez strat… no, nie licząc może mojego całego dnia w trakcie którego dogłębnie analizowałem sytuację.

Wszystkie moje wordpressy są aktualizowane na bieżąco, hasła długie i losowe. Dodatkowo na wszelki wypadek zainstalowałem kilka zabezpieczeń takich jak 2FA, które jak widać po powyższym wykresie pomogły zmniejszyć obciążenie serwera. Wniosek na przyszłość, że czasem trzeba organizować sobie wieczorne soboty przy kawie i ciastku przeglądając logi. :D

Reboot

Przed WordPressem broniłem się już chyba wystarczająco długo. Zawsze byłem zwolennikiem czystego kodu…, pełnej, wręcz absolutnej kontroli nad projektowaną stroną która dawała mi poczucie piękna. Statyczne strony dają właśnie tą kontrolę i są całkiem niezłe dopóki nie aktualizujesz często treści. A taką właśnie stronę chciałbym prowadzić… z duuuużą ilością treści. Zawierającą nawet gdzieś w tle parę archiwalnych wpisów z moich poprzednich stron które uznam za godne uwagi. Niestety, ale chcąc prowadzić aktywnie witrynę www nie da się tego robić bez zintegorwanego CMSa. Choć klientom stawiałem strony internetowe na WordPressie już od 2009 to swoją stawiam na WP dopiero dzisiaj 30 marca 2018 roku

Obecnie jeszcze mieszkam w Anglii. Moje grafitowe Volvo S40 w wersji R-Design wystawiłem na sprzedaż za 5000 funtów. To 2200 mniej niż je kupiłem rok temu, ale po mimo że jestem bardzo zadowolony z tego auta to chcę je sprzedać jak najszybciej ponieważ każdy miesiąc utrzymywania go to dodatkowe opłaty i stracone pieniądze których już nie odzyskam. Samo ubezpieczenie i podatek drogowy to 180 funtów, nie licząc kosztów paliwa. Do planowanego powrotu do Polski zostało około 140 dni a więc oszczędzam na czym tylko się da żeby jak najwięcej pieniędzy przywieść do Polski.  Po 3 latach zdecydowałem się na powrót do ojczyzny. Gdy to mówię znajomym cieszą się, ale spotkałem się też takimi które nie rozumieją mojej decyzji. Bo jak to… Tutaj zarabiam regularnie 1600 funtów na miesiąc, ugruntowałem sobie pozycje w angielskiej firmie z tradycjami osiągając stanowisko Team Lidera, a tu nagle powrót do Polski i zaczynanie wszystkiego od zera? Powrót do zarobków na poziomie 2 tysięcy złotych?

Tak, bo nie wszystko złoto co się świeci, a ja z pewnością nie żyję dla pieniędzy. Pieniądze są drogą do celu, a nie celem samym w sobie. Niestety, ale ilość patologii z jaka się tutaj zetknąłem skłoniła mnie do głębokich refleksji na temat życia, przyszłości i zmotywowała do nowych decyzji. Czas pokaże czy okażą się one trafione. Stron internetowych nie zamierzam na pewno projektować, to wiem na 100%. Niestety, ale z bólem serca przyznaje że otwarcie firmy było jedną z najgorszych decyzji w moim życiu. I choć dzięki temu wiele się nauczyłem, przez 8 lat zdobyłem ogromnie dużo doświadczenia to niestety ale teraz z perspektywy czasu uważam że mogłem lepiej wykorzystać ten czas.  Samo projektowanie stron dla biznesu…, cóż.  Wielokrotnie na pewno słyszeliście w motywujących filmikach na YouTubie, teksty w stylu „Zacznij robić to co lubisz, a nie będziesz musiał pracować ani dnia”. No to nie do końca w ten sposób.

Moja pasja jaką były strony internetowe na szczeblu zawodowym zamieniła się w rutynę. Po kilku miesiącach, latach nie było w tym już nic z dziecięcej zabawy w programowanie która dawała tyle radości. Czasem aby opłacić ZUS, podatki, biuro, rachunki trzeba było oddawać projekty z których nie do końca byłem zadowolony i usatysfakcjonowany. Ale cóż, takie są realia biznesu. Często trzeba było podejmować trudne decyzje których wcale się nie chciało podejmować, ale nie miało się wyjścia jeśli chciało się przetrwać kolejny miesiąc. Nie mówię że całkowicie porzucę tą pasje… o co to, to nie. Może coś tam zrobię od czasu do czasu, ale raczej będzie to miało charakter dopieszczonego brylantu, który jest idealny pod każdym kątem. Dopracowany. Perfekcyjny. Tylko takie projektowanie może mnie usatysfakcjonować.

Update 12.3.2018:

Doszedłem do wniosku że dobrą opcją będzie dodanie starych wpisów poprzedniej strony adamkupis.pl która niestety wygasła. Nie dodam wszystkich treści, ale sądzę, że ciekawsze archiwalne wpisy ozdobione dotąd niepublikowanymi zdjęciami mogą się tutaj znaleźć :D

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *