tentativo di login forza bruta da IP falsificati

Question

tentativo di login forza bruta da IP falsificati

#1 da (9 voti)

7

Vedo che molte delle mie installazioni di WordPress vengono colpite da oltre 1000 tentativi di accesso non riusciti utilizzando il nome dell'account "admin" inesistente. Le richieste provengono da IP diversi ogni volta, e vedo IP come 8.8.8.8 (il DNS pubblico di google) come origine di alcuni tentativi di accesso.

Uso WordFence per rilevare e bloccare questi tentativi, ma il blocco è basato su IP, quindi non è così efficiente.

La mia domanda è:

È normale per i siti WordPress a basso profilo ottenere questi "attacchi"? Ho notato un aumento dei log durante i primi giorni del 2013.
C'è qualcosa di cui preoccuparsi, ed è possibile rilevare / verificare se una richiesta di accesso proviene da un IP falsificato?

wordpress brute-force ip-spoofing

posta mikkelbreum 13.01.2013 - 15:29

fonte

1 risposta

Leggi altre domande sui tag wordpress brute-force ip-spoofing

Una porta di diagnostica JTAG funzionante sul telefono Android aggiunge rischi inutili? Ricerca della data dell'ultimo accesso alla rete

score 9 · Accepted Answer

È impossibile falsificare l'indirizzo IP di una connessione TCP a causa dell'handshake a 3 vie .... A meno che l'applicazione non sia vulnerabile a CWE-291: fidati di un indirizzo IP auto-segnalato

Abbastanza sicuro in ./wordfence/lib/wfUtils.php nella riga 77:

public static function getIP(){
    $IP = 0;
    if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
        $IP = $_SERVER['HTTP_X_FORWARDED_FOR'];

Quindi sì, la ragione per cui si vedono tentativi di forza bruta da 8.8.8.8 è perché WordFence è vulnerabile a CWE-291. Sto segnalando questa vulnerabilità a WordFence, ma per essere onesto questa vulnerabilità è così dolorosamente ovvia. Se lo sviluppatore non capisce anche i più elementari difetti di input fiducioso degli hacker, allora probabilmente hanno commesso altri gravi errori che hanno un impatto sulla sicurezza, sento odore di sangue.

È possibile che un sistema di sicurezza possa rendere meno sicuro il tuo sistema nel suo insieme. Questo non è niente di nuovo, sono state trovate vulnerabilità nell'esecuzione di codice in modalità remota nel software antivirus. La complessità è il peggior nemico della sicurezza.