Falso attacco utente di UserAgent?

8

Non sono sicuro se dovrei segnalarlo qui, ma all'interno del mio sito web raccolgo ogni richiesta in DB e di volta in volta visualizzo questi record. Tra i dati raccolti ci sono user agent, url reqested, referrer (cioè precedente) url, time e altri.

Oggi ho trovato un bot del seguente agente utente (che sembra nasconderlo):

(Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko

IP:

181.114.49.183

La maggior parte delle richieste avvengono entro intervalli di 1-2 secondi e il più interessante è quello che vuole che il mio server controlli:

| /wp/wp-login.php | | /blog/wp-login.php | | /site/wp-login.php | | /cms/wp-login.php | | /section/wp-login.php | | /wp-admin/wp-login.php | | /wordpress/wp-login.php |

(dal mio DB)

Il referrer in ogni caso è nullo (significa che non c'era alcun referrer, si aspettava di trovare una pagina web su questo uri).

Perché un bot potrebbe voler controllare se c'è un wordpress installato su una pagina web, e qual è il suo URL (il mio sito web non usa wordpress o altri CMS)? Per me, è come cercare un modo possibile per entrare in un pannello di amministrazione del sito web. E ho un pannello di amministrazione che ho creato da solo.

Dovrei fare qualcosa al riguardo?

    
posta forsberg 21.07.2015 - 14:23
fonte

4 risposte

27

Ogni computer con un IP pubblico ottiene questo tipo di attenzione in modo permanente. Non c'è niente che puoi fare per fermarlo (una volta ho provato a lamentarmi con il provider che possiede l'IP, non ho mai avuto risposta e ho rinunciato). Quello che puoi fare è assicurarti di essere ben protetto da un possibile attacco (questo bot sembra cercare WordPress, ma ci sono altri che cercano apache, ssh, tu lo chiami). Alcune regole:

  • Esporre il minor numero possibile di servizi. Se non hai bisogno di SSH, FTP, ecc., Disabilitalo.
  • Per i servizi che esponi (il server web nel tuo caso) assicurati di installare regolarmente le patch di sicurezza.
  • Se il tuo servizio ha qualche forma di autenticazione (come la pagina di amministrazione di WordPress), assicurati di scegliere una password casuale strong. I bot online di solito controllano le password predefinite e le combinazioni estremamente deboli come root / r00t, ma non rischierei di usare alcuna parola del dizionario o qualcosa di più breve di 12-16 caratteri.
  • Se vuoi smettere di sprecare risorse su persone che cercano di indovinare la tua password (supponendo che tu abbia una buona password) puoi installare Fail2Ban che mette al bando un indirizzo IP per 10 minuti dopo 6 tentativi di accesso falliti, rendendo gli script che inducono a indovinare la password in modo non corretto. Naturalmente, puoi configurare il ritardo del blocco e il numero di tentativi a tuo piacimento.
  • Per i servizi destinati a un gruppo specifico di utenti (tu, la tua azienda, ecc.), puoi anche utilizzare altre tecniche come porto bussare e limitare l'accesso agli intervalli IP che probabilmente utilizzerai per accedere ai tuoi servizi (solo il tuo paese, il tuo ISP, il tuo provider di servizi Internet, ecc.).
risposta data 21.07.2015 - 14:48
fonte
4

Come ha detto @william, non c'è nulla di cui preoccuparsi se si tratta di un bot (che probabilmente è). Se si registrasse anche altro traffico, si vedrebbero anche molti altri robot che tentano di eseguire la scansione del server, connettersi tramite ssh, rdp ... Sto registrando il traffico sul mio server ssh e ogni giorno ho centinaia di tentativi di connessione falliti da parte dei robot .

Ma se noti altre attività sospette che non sembrano automatizzate, dovresti esaminare i dettagli.

    
risposta data 21.07.2015 - 14:43
fonte
2

È solo un robot automatico che tenta di sfruttare i server vulnerabili che eseguono Wordpress. Non c'è niente di cui preoccuparsi e nulla da fare al riguardo, ma assicurati di non avere servizi obsoleti o uno di loro potrebbe trovarlo in quel modo.

    
risposta data 21.07.2015 - 14:29
fonte
1

Potresti considerare di limitare l'accesso al login di WordPress al tuo IP aggiungendo un file htaccess alla cartella / wp-admin.

Tutti quelli che non provengono dal tuo IP riceveranno un errore 401.

Tuttavia, se permetti agli utenti esterni di accedere al tuo sito per commentare o pubblicare contenuti, verrebbero anche bloccati a meno che tu non autorizzi esplicitamente il loro IP.

Vedi questa domanda per un file htaccess di esempio.

    
risposta data 21.07.2015 - 17:22
fonte

Leggi altre domande sui tag