Come i bot hanno indovinato la mia pagina di login wordpress?

Naviga le tue risposte
6

Ho un sito wordpress (completamente aggiornato) utilizzato per ricevere molti tentativi di accesso in base agli attacchi del dizionario. Ho cambiato il mio utente amministratore in qualcosa di non comune e ho usato una password davvero strong.

A parte questo ho cambiato la mia pagina di accesso usando rinominare il plugin wp-login.php . Ho cambiato l'URL di accesso in qualcosa di simile al link . Per anni i bot non sono riusciti a indovinare la mia pagina di accesso (che ha ancora molti 404).

Per la seconda volta in un mese. La prima volta ho avuto un tentativo fallito e ho cambiato l'URL in link e non ci ho pensato molto. La seconda volta è successo oggi. Eventi esatti:

19 aprile

  • Accesso riuscito dal mio ufficio di lavoro (tramite proxy) al collegamento alle 18:00 dal mio portatile aziendale.
  • 2 tentativi falliti da 70.32.73.128 ( rapporto sull'IP ), un IP dalla California, alle 02:54 GMT (il server sembra essere segnalato come compromesso) utilizzando admin username (che btw non esiste nel mio wordpress)
  • Ho cambiato password e URL per link
  • Ho abilitato l'acquisizione delle password in arrivo nel registro.

Ora

  • Ieri (11:10) ho avuto accesso al blog per correggere una voce dalla mia rete di datori di lavoro (stesso proxy).
  • Oggi alle 11:55, 1 tentativo fallito di 213.248.63.27 ( rapporto sui virus totali IP ), un IP russo con siti sospetti come vrn.sauna.ru (probabilmente URL NSFW). Ha usato oscarfoley come nome utente senza password (il mio nome utente non è oscarfoley o simile)

Mi sento abbastanza sicuro dato che il bot deve indovinare la pagina di accesso, l'utente amministratore e il pass. Tuttavia, leggendo questo sito sono un po 'paranoico. Quindi la mia domanda principale è:

In che modo il robot ha "indovinato" la pagina di accesso alla carta o alla matita?

  • Potrebbe essere compromesso il proxy / rete del mio datore di lavoro? (Come un hacker che ha accesso ai log del proxy ...)
  • Potrebbe trattarsi di un attacco da dizionario esteso (qualcosa come un avvio che analizza tutti i server wordpress in Internet per vedere se la pagina di accesso è una matita)? .. o un exploit in wordpress?
  • C'è altro che dovrei fare per proteggermi?
  • Potrebbe essere un attacco personale usando le informazioni pubbliche su internet? Oppure un bot che utilizza informazioni pubbliche per attacchi ampi?
  • Perché la password vuota?
  • Come posso essere sicuro di non essere hackerato? (Dimentica di questo dato che è piuttosto buono ha risposto a questa domanda )
  • Potrebbe essere il mio laptop o il mio pc a casa essere hackerato e ottenere l'url da esso? La mia ipotesi è no perché altrimenti avrebbero la mia password ...

EDIT : per essere più chiaro, l'attaccante ha eseguito l'url di accesso direttamente con NESSUN tentativo fallito su altri URL simili. Controlla qui gli ultimi 404 errori:

    
posta Oscar Foley 11.05.2016 - 15:31
fonte

3 risposte

2

Molti strumenti di scansione web (ad es. Wikto ) hanno la capacità di lanciare ipotesi bruteforce su un URL. Non c'è nulla che impedisca a un utente malintenzionato di usare un dizionario e di dire curl o wget a bruteforce: 

while read line
 do
   wget -qO - http://yoursite.com/$line
 done < /usr/share/dictionary/wordlist

Un compito comune che farei per il pentesting, sarebbe qualcosa di simile a quanto sopra, dove vorrei una copia del sito, analizzerò ogni parola, inserirò ogni parola in una nuova riga, quindi cercherò nel sito le directory di qualsiasi parola elencata sul loro sito. Questo è anche utile per il nome utente alcune volte.

Ora menzioni wordpress, e va detto che quando usi i plugin, alcuni di questi plugin possono contenere "pingback" o "ehi io uso anche questo plugin" dove il tuo sito verrebbe elencato. Questo potrebbe essere un altro vettore in cui un utente malintenzionato ha visto il tuo sito altrove e l'ha preso di mira. Per quanto riguarda WP in generale, siti come " Scritch " possono dire a qualcuno cosa sta girando sul sito (CMS), quali plugin sono in uso , ecc. Quindi immagina quanto segue: Attacker vede il tuo sito su dire un pingback, prende il nome del sito, lo infila in scritch. Determina che ti attaccheranno. Non trovano la pagina di accesso, quindi usano una tattica simile (script di shell) per trovare qualcosa .

Mi preoccuperei poco degli attaccanti e concentrarmi sulla creazione di una regola mod_rewrite o htaccess simile alla seguente: 

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?oscarfoley\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin-login$
RewriteCond %{REMOTE_ADDR} !^1\.2\.3\.4$
RewriteCond %{REMOTE_ADDR} !^5\.6\.7\.8$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

Dove 1.2.3.4 è il tuo indirizzo di casa, e 5.6.7.8 è forse la pagina della tua azienda ed è fatta con le preoccupazioni di qualcuno che cerca di entrare in una bruteforce tramite la pagina di accesso. Un'altra alternativa che è la sicurezza attraverso l'oscurità sarebbe quella di creare un URL basato su un checksum SHA1 di una parola, contro una parola. Per es. 

$ echo 0sc@r | shasum5.16 -a 1
2ee681adc62a5ca2865bb7424b6a97a9050ddcd4  -

Dove 2ee681adc62a5ca2865bb7424b6a97a9050ddcd4 diventa il tuo URL di accesso. Di nuovo, la sicurezza attraverso l'oscurità, ma la nozione qui è che qualcuno potrebbe indovinare quell'URL, ad un certo punto, è possibile dedurre che il tuo traffico sia stato in qualche modo annusato, o memorizzato in cache da qualche parte.

AGGIUNTA DOVUTO ALLA MODIFICA DELL'OP

Gli 404 di un indirizzo significano poco o un po '. Non hai idea se l'indirizzo che si sta connettendo funzioni in connessione con un altro indirizzo che fa tentativi bruteforce. (ad esempio scansione / condivisione distribuita)

    
risposta data 11.05.2016 - 16:37
fonte
1

Bene, matita e carta vanno insieme ... quindi forse l'attaccante ha appena indovinato dopo aver trovato 

?pencil
Perché non creare una cosa generata casualmente usando qualcosa come pwgen, con una lunghezza ridicolmente grande, come 50, quindi qualcosa come 
/0gGF9ZAt7us0WbnntE3rqqrRK1PohXjU6Kk6tuRfCMMJdJmZIf
come pagina di accesso e login sono ugualmente ridicoli?     
risposta data 11.05.2016 - 15:55
fonte
1

la tua soluzione è una pagina di accesso basata su IP. Cioè hai una lista di IP statici, hanno il permesso di aprire la pagina di login effettiva, altri sono reindirizzati a una trappola per raccogliere nome utente e password per un tentativo di effrazione + lista nera di un IP di un utente malintenzionato. Da dove può indovinare? Una risposta è ... il tuo browser barre degli strumenti / addons + antivirus "software di sicurezza". Sì, fanno perdere dati. Anche i registri dei proxy del tuo datore di lavoro potrebbero essere sospetti. Prova un vuoto Linux installato su un Raspberry Pi 2 con un browser vuoto senza addon - e usalo e solo per accedere al tuo wordpress, non usarlo dal proxy del tuo datore di lavoro. E dai un'occhiata: sarà in uso il nuovo indirizzo di accesso.

    
risposta data 11.05.2016 - 17:04
fonte

Leggi altre domande sui tag

Come condividere una chiave di crittografia tra diverse applicazioni PHP? Qualsiasi scenario per l'utilizzo di entrambi, OpenID Connect e OAuth 2.0?