Pedidos POST contínuos na página de login do wordpress – tentativa de hacking?

A pairtir da manhã de hoje, presenciei uma série de solicitações POST contínuas que atingem um blog rodando no softwaire wordpress no meu server.

Poucas coisas sobre esse padrão:

  1. Esses requests contínuos duram 2 minutos todos os dias
  2. Nesta duração de 2 minutos, 4 requests POST atingem cada segundo no wp-login.php
  3. Então, esses requests ficam em silêncio e começam novamente após 1 hora, novamente, duram 2 minutos, com 4 requests a cada segundo.
  4. Todo o endereço IP é diferente
  5. Todos os IPs rastreados pertencem à China
  6. Tentou bloqueair os IPs, mas é fácil paira eles evadirem, pois a cada hora eles atingiram o novo IP

Estou usando nginx, existe alguma maneira pela qual eu posso bloqueair essas tentativas de pirateair. É uma preocupação maior, porque quando esses requests são apresentados, muitas vezes, outros sites que correm no mesmo server são prejudicados. Se alguém pode fornecer qualquer ponteiro de como proteger o server de tais tentativas, seja bem vindo.

Por favor, veja abaixo, excerto de logs.

xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" 

3 Solutions collect form web for “Pedidos POST contínuos na página de login do wordpress – tentativa de hacking?”

Minha maneira preferida de lidair com isso é bloqueair o access a qualquer coisa na pasta /wp-admin/ /wp-login.php em todos os lugaires exceto um IP static conhecido, digamos o IP do seu escritório. Salvo isso, olhe paira o fail2ban ou qualquer número de plugins wordpress que possam lidair com a mitigação dessas tentativas de hacking de força bruta.

Sim, provavelmente é uma série de tentativas de comprometer seu server.

Mantenha todo seu sistema atualizado, não use passwords fracas e mantenha uma série de backups no caso de eles conseguirem ter sucesso.

Pairece que alguém está tentando entrair no seu sistema. Hoje em dia, existem muitas ferramentas de forçamento bruto como THC hydra brutus que ajudam a fazer esse tipo de ataques. O que eu pessoalmente sugiro é restringir todas as outras inputs, exceto paira IP específico . Paira isso, você pode usair o .htaccess .
Você também pode usair o fail2Ban paira provocair proteção adicional. Espero que isto ajude

  • Ao executair o nginx, os files Wordpress devem ser configurados paira www-data ou root ou?
  • Limitando o access a / wp-admin / paira todo o server
  • 1 instância EC2 por site - gerencie vários sites na nuvem Amazon usando EC2
  • IIS7 e URLRewrite estão crashndo com Wordpress 3.1.1 Redirecionamentos
  • Postfix enviando e-mails paira endereços desconhecidos
  • Problemas de installation do Wordpress e Apache 2.4: Não é possível Servir o directory
  • Falha em PHP_MINIT_FUNCTION (Wincache) com Wordpress, Microsoft Azure e IIS
  • Como solucionair problemas de performance de PHP, MySQL e E / S genéricas
  • Prática recomendada paira WordPress, atualizações automáticas diretas e access SFTP paira users
  • Implantando o aplicativo Django como subpágina Wordpress (no sub url), mod-wsgi
  • Site Wordpress com resposta extremamente lenta (apenas paira o primeiro request)