Witam.
Zostałem poproszony o zrobienie porządku z pewną stroną www która oparta jest na wordpress. Więc przed grzebaniem postanowiłem zrobić kopię bezpieczeństwa. Dodam tylko że hosting to nazwa.pl.....
Kopię zacząłem od zalogowania się do serwera FTP przekazanymi mi danymi. Jednakże hasło do serwera FTP było bardzo długie, choć sprawdzałem je przepisując czy nie zrobiłem błędu, kilka razy próba zalogowania nie udała się (podejrzewam że jest jakaś literówka w przekazanym mi haśle). Więc loguje się do panelu administratora i zakładam nowe konto do FTP. Logowanie na nowo utworzone konto przebiegło bez żadnych problemów, więc zaczynam kopiować katalog ze stroną. Tutaj dodam że strona ma dosyć spore rozmiary, waży niecałe 40 GB (do kolejki kopiowania zostało dodane około 800 000 plików). Operację tą zacząłem po godzinie 20 wczoraj. Po nieudanych próbach logowania, i utworzeniu nowego konta do FTP w celu rozpoczęcia wykonania kopiowania było już po 21. Z racji na fakt iż po sftp taka ilość i rozmiar będzie się kopiować dosyć długo zminimalizowałem FileZille i zacząłem inne rzeczy oczekując na zakończenie kopiowania się plików.
Rano przed pracą chciałem sprawdzić czy pliki się skopiowały, niestety podczas około połowy serwer odrzucił połączenie a klient FileZilli próbował nawiązać połączenie co 5 sekund niestety bez skutku.... Pierwsza myśl jaka mnie naszła to brak neta, sprawdzam net jest, próbuję wejść na stronę której chciałem wykonać kopię, i tu zaczyna się historia... Strona nie działa, pierwsze co myślę to że wykorzystałem jakiś limit transferu czy coś (wiem, że niektóre hostingi mają takie coś) ale nie. Więc brnę dalej. Próbuję wejść na stronę z telefonu, z internetu mobilnego - działa, więc ponownie próbuję wejść na kompie - nic. Stwierdziłem więc że nazwa.pl musiała nałożyć jakąś blokadę (mam stały adres IP). Dzwonię do nazwy, zostałem poproszony o wysłanie screenów z pingów oraz więcej informacji na email. Więc wysyłam screeny. Tutaj screeny dodam poniżej. Przychodzę do pracy, piszę maila z wszystkimi danymi, tj adrersem ip screenami z pingów etc. i Tutaj odpowiedź która przeszła moje najśmielsze oczekiwania... W odpowiedzi napisane było iż cytuję ,,uprzejmie informuję, że blokada została nałożona w związku z prowadzonym atakiem BruteForce ze wskazanego adresu IP."
I tutaj moje pytanie do Was.
Czy kilka prób (+ -10 w różnych odstępach czasowych) zalogowania się do serwera ftp, oraz udane logowanie do serwera FTP utworzonym w panelu administracyjnym nowym kontem i kopiowanie strony (około 40 gb, i około 800 000 plików) przez SFTP może zostać jakoś zaliczone do ataku BruteForce na Serwer? Aktualnie nie mam możliwości ani wejścia na inne strony znajdujące się na serwerach nazwy ani zalogowania w jakikolwiek sposób (oprócz VPN) do serwera strony której chciałem wykonać kopię... Podejrzewam, że próba kopiowania strony przez VPN również skończy się blokadą. W odpowiedzi od nazwy.pl jaką dostałem napisali iż aktualnie nie ma możliwości zdjęcia blokady.
Screen z domu:
Tutaj z pracy:
Po co miał bym robić atak BruteForce dysponując wszystkimi potrzebnymi do pracy danymi.... i tutaj nasunęło mi się pytanie jak bym miał przenieść stronę, na inny hosting gdy wyłapuję blokadę na IP za próbę zrobienia kopii strony przez sftp. i pytanie do was co mam robić dalej?
Komentarze (162)
najlepsze
np. BackWPup - wszystko spakuje i wyśle na dropboxa. Mam tak strony porobione ze raz na miesiąc robi kopie i jest spoko. ( ͡° ͜ʖ ͡°)
Do tego jak robisz backup strony, to zaloguj się przez ssh, zipuj cały folder i dopiero ściągaj. Szybciej ściągniesz 100MB zipa niż 100Mb w pierdylionie plików po 1kb.
Ja nie targałbym na pewno 40GB z WP - spora część tego to pewnie cache i inne śmieci, które można odsiać tworząc archiwum przez ssh z odpowiednimi filtrami. Chyba, że faktycznie masz tyle mediów...
@bar32tek: Mozna przeciez w locie pakować porcjami i wysylac.
A jeśli były próby logowania na nieistniejące konta albo jako root to nawet mniej (jak logowałeś się na nieistniejące konto to 3 albo 4 próby i też IP ląduje w hosts.deny).
Dlatego wcale nie chodzi o ilość danych tylko o wielokrotne
Raczej zdążyłeś się zalogować przed zablokowaniem a potem działało dlatego, że byłeś już połączony, gdy coś zerwało połączenie to już nie szło połączyć ponownie.
Podobnie mogło być z przeglądarką - strona otwarta wcześniej i przeglądarka trzymała aktywne połączenie.
Zwykle blokada dotyczy wyłącznie serwera na który była nieudana próba logowania, ale jeśli ktoś chce to istnieje opcja wymiany informacji między serwerami w jednej sieci. Moim zdaniem szkoda na to zachodu, tylko niepotrzebna komplikacja a realnych korzyści nie widać - no i opóźnienie większe bo