😱 Site Sendo Atacado Com ipv6 do meu Próprio Servidor

Faala galera, beleza?

Meu servidor está sendo atacado nesse exato momento, por isso ficarei muito grato se alguém puder me ajudar.

Eu tenho o Snatshot anterior ao momento dos ataques, então com este tópico tenho o OBJETIVO CLARO de entender o que está acontecendo.

Ah, eu tenho certeza que isso está sendo feito por concorrentes para derrubar minhas posições do Google. Sim, porque toda vez que meu site vai para a primeira página com o conteúdo principal alguma coisa estranha acontece e o site desce lá pra a terceira página. Bem estranho. E isso antes de eu entrar aqui, e agora tudo está claro pra mim. Enfim, não gosto de julgar mas está muito na cara e não sou ingênuo. Mas o assunto é outro.

SERVIDOR: O plano mais básico da Digital Ocean, tudo 100% ao que é ensinado no Super Servidor.

Sequência de acontecimentos:

1 - Meu servidor caiu;
2 - Verifiquei que estava sendo atacado;
3 - Fiz Snapshot e criei um novo servidor;
4 - Dessa vez o ataque piorou, dessa vez fui atacado com o próprio ipv6 da hospedagem;
5 - Coloquei em mais outra hospedagem, não teve jeito, ele usou o ipv6 da nova hospedagem pra fazer os ataques.

Os principais arquivos sendo atacados são:

wp-cron.php
xmlrpc.php
wp-login.php

O principal arquivo sendo atacado é o wp-cron.php, e somente este arquivo está sendo atacado com meu próprio ipv6.

Não tenho plugin pirata.

Segue imagem com detalhe do principal ataque ocorrendo.

O que eu já fiz? Bloqueei acessos a partir dos países que estão atando, fiz isso ontem mas ATÉ AGORA NÃO ESTÁ FUNCIONANDO; Exclui o arquivo wp-cron.php temporariamente até encontrar uma solução; E claro, antes eu já tinha feito todas as configurações de segurança ensinadas no curso Super Servidor.

.
.
.
Então quero saber:

1 - Isso é algum tipo de vírus?
2 - Isso é visual, ou estou sendo atacado mesmo com meu próprio servidor?
3 - Se eu voltar ao estado anterior antes do ataque resolve?

Agradeço bastante.

Atenciosamente,
Mauricelio Alves

Olá.
Inicialmente precisava ver o registro de logs para ter uma base melhor.
Mas se está vendo seu próprio IP fazendo requisições provavelmente ao cron é possível que tenha algum script injetado no seu site que está realizando essas requisições.
Se realmente for isso precisa identificar e eliminar.

Chegou a fazer os bloqueios mostrados aqui: https://academy.gerenciandoweb.com.br/curso-super-servidor/bloqueio-de-areas-criticas-do-wordpress/

Se sim. Inclui o wp-cron.php nesse bloqueio.

1 curtida

Sim, eu fiz isso, inclusive revi todas as aulas desse módulo pra ver se eu não tinha deixado escapar nada, mas eu já tinha feito tudo. E também já inclui o wp-cron.php nesse bloqueio, mas só depois que não tinha jeito.

É uma boa ideia falar desse arquivo na próxima atualização viu, ou na descrição das aulas.

Realmente tenho que ver a questão dos logs, até pensei nisso.

Como a paciência é pouco vou restaurar um Snapshot anterior, mas vou aplicar essa parada dos logs aí pra entender na prática como funciona.

Agradeço pelas orientações.

Grande abraço.

1 curtida

Precisando de ajuda estou a disposição.

1 curtida

Fiz uma instalação Wp do zero em outro droped, com as mesmas instruções do curso, e na Digital Ocean também.

Não fiz migração, apenas instalei o Wp em outro servidor e mudei o DNS.

Cara, assim que mudei o DNS os bots continuaram rodando com IPV6 do novo servidor, da mesma maneira que mostra na imagem acima.

Kkkkkk.

O uso do recursos dos servidores estão normais. Já verifiquei os logs de acesso e não vi nada demais, as mesmas coisas que mostradas no CloudFlare.

Fica do mesmo jeito que está na imagem acima, mostrando o IPV6 do meu servidor e o ASN da Digital Ocean, e não configurei o novo IPV6 na CloudFlare na nova instalação.

  • Não instalei nada no novo Wp, ou seja, não é culpa de plugins, e também só tem 1 site nesse novo droped.

  • Então, isso pode ser um Bot que finge estar usando meu IP mas na verdade não está usando?

  • Podem ser solicitações falsas?

Exatamente o que está relatando nunca cheguei a ver.
Gostaria de analisar. Envia o acesso SSH para [email protected]

Vou monitorar o servidor e analisar os logs para ver se identifico a causa.

Olá, nessa ocasião eu enviei o E-mail, porém creio que para sua caixa de Spam. Fiz o reenvio do E-mail hoje, poderia dar uma conferida?

Obrigado.

Opa.
Eu vi seu email.
Mas foi em um período que recebi algumas centenas de emails.
Depois acabei fazendo uma limpa e acredito que apaguei por engano.
Peço desculpas.
Já vou ver aqui e vou manter o monitoramento aberto para lhe dar um feedback.