Come capire chi sta picchiando la mia installazione di WP con tentativi di accesso fasulli

1

Ho installato WordPress che usa il plugin Wordfence. Ho impostato Wordfence per bloccare l'IP di chiunque cerchi di accedere con un nome utente inesistente.

Da diversi mesi, ho ricevuto molti tentativi di accesso al giorno con username admin . Il solito schema è che il tentativo è fatto su un IP, che l'IP viene bloccato, e quindi circa un'ora dopo viene fatto un altro tentativo su un IP e un host completamente indipendenti.

A volte è più di una volta all'ora, ea volte non ottengo niente per qualche giorno.

Oggi ho notato un aumento drammatico del numero e della frequenza dei tentativi. A volte noto che i tentativi di accesso sono fatti da IP simili dallo stesso host all'incirca nello stesso momento.

Finora non ci sono ipotesi con altri nomi utente diversi da admin . Ovviamente, questo non rappresenta una minaccia per me dal momento che sta solo cercando di entrare in un account inesistente, ma non mi piace dover vietare, anche temporaneamente, così tanti IP.

C'è un modo per rintracciare che cosa sta causando questo? È uno script con una botnet? È usato un certo proxy? Gli IP vengono falsificati? C'è un modo per riconoscere lo script che sta facendo questo e bloccarlo in modo specifico?

Ecco le informazioni su alcuni dei tentativi più recenti di accesso da oggi, con tempo di tentativo, IP e nome host:

12:51:05 AM
User IP: 174.121.79.2
User hostname: kenley.accountservergroup.com

12:51:08 AM
User IP: 64.34.111.218
User hostname: cpweb17.idig.net

12:54:36 AM
User IP: 66.147.244.96
User hostname: box796.bluehost.com

12:54:38 AM
User IP: 91.148.192.40
User hostname: avatar.dicode.nl

12:54:41 AM
User IP: 77.81.241.223
User hostname: 223.241.81.77.static.intovps.com

01:04:24 AM
User IP: 188.40.2.4
User hostname: www184.your-server.de

01:04:28 AM
User IP: 69.89.31.190
User hostname: box390.bluehost.com

01:04:31 AM
User IP: 66.147.244.192
User hostname: box692.bluehost.com

01:12:49 AM
User IP: 67.20.76.102
User hostname: host402.hostmonster.com

03:14:16 AM
User IP: 213.133.104.90
User hostname: www90.your-server.de

03:14:19 AM
User IP: 184.168.112.26
User hostname: ip-184-168-112-26.ip.secureserver.net

03:14:22 AM
User IP: 69.160.46.103
User hostname: purple.streamblues.com

04:09:13 AM
User IP: 54.215.196.56
User hostname: ec2-54-215-196-56.us-west-1.compute.amazonaws.com

04:09:16 AM
User IP: 192.163.233.135
User hostname: hos.hostplanet.ca

04:09:17 AM
User IP: 69.73.175.234
User hostname: midwestmonitor02.midwestmonitor.com

04:12:00 AM
User IP: 173.254.28.87
User hostname: just87.justhost.com

04:24:58 AM
User IP: 74.220.219.131
User hostname: box531.bluehost.com

04:25:01 AM
User IP: 69.89.31.202
User hostname: box402.bluehost.com

04:25:04 AM
User IP: 66.147.244.180
User hostname: box680.bluehost.com

04:27:56 AM
User IP: 178.32.177.13
User hostname:

04:27:59 AM
User IP: 69.89.31.78
User hostname: box278.bluehost.com

06:26:00 AM
User IP: 50.87.23.91
User hostname: 50-87-23-91.unifiedlayer.com

06:26:03 AM
User IP: 84.200.252.101
User hostname: web1.xlhost.de

06:26:06 AM
User IP: 209.237.142.216
User hostname: host216.hosting.register.com

07:20:55 AM
User IP: 37.59.34.44
User hostname: ns237003.ovh.net

07:21:01 AM
User IP: 66.147.242.175
User hostname: box575.bluehost.com

07:23:07 AM
User IP: 67.23.226.7
User hostname: reach.nseasy.com

07:23:13 AM
User IP: 63.247.141.31
User hostname: ava.claimtheweb.com

07:28:18 AM
User IP: 69.195.75.28
User hostname: 69-195-75-28.unifiedlayer.com

07:40:47 AM
User IP: 216.22.25.193
User hostname: vps.redber.net

07:40:49 AM
User IP: 23.21.90.33
User hostname: ec2-23-21-90-33.compute-1.amazonaws.com

09:35:04 AM
User IP: 67.23.243.30
User hostname: server.bludomain6.net

09:35:08 AM
User IP: 78.142.160.203
User hostname: bsm.at

10:30:13 AM
User IP: 70.40.220.107
User hostname: box607.bluehost.com

10:33:19 AM
User IP: 69.89.31.159
User hostname: box359.bluehost.com

10:39:05 AM
User IP: 198.57.224.136
User hostname: pro.probatelawyer.org

10:39:14 AM
User IP: 91.146.107.85
User hostname: oregon.footholds.net

10:39:18 AM
User IP: 189.113.5.83
User hostname: hw82.webservidor.net

10:55:42 AM
User IP: 217.149.62.1
User hostname: web-62-1.webhotelli.fi

10:55:46 AM
User IP: 216.246.7.21
User hostname: vserver.mydevteam.net

10:55:49 AM
User IP: 74.220.215.238
User hostname: host238.hostmonster.com

11:26:13 AM
User IP: 213.60.51.127
User hostname: 127.51.60.213.static.mundo-r.com

12:44:31 PM
User IP: 74.220.215.74
User hostname: host274.hostmonster.com

12:44:34 PM
User IP: 74.220.215.243
User hostname: host243.hostmonster.com
    
posta brentonstrine 30.10.2013 - 22:06
fonte

4 risposte

1

Dalla tua descrizione sembra che sia una botnet di qualche tipo.

Ma è improbabile che tali informazioni possano aiutare in alcun modo.

Probabilmente non vedrai mai lo script in esecuzione (oi comandi C & C inviati alla botnet) in modo tale che la via di difesa sia improbabile ... a meno che tu non sia l'FBI o simile. E le botnet possono avere qualsiasi indirizzo IP ed essere ovunque.

Ma per essere onesti, quella fine delle cose è irrilevante. Come @Rook ha dichiarato correttamente, l'ipotesi migliore è che Internet ti stia attaccando. Basta bloccare ogni IP che si rileva attaccando. Funziona. È una pratica standard.

    
risposta data 30.10.2013 - 23:14
fonte
1

Questa è probabilmente una botnet che cerca di trovare altri host da infettare in modo automatico. Molto probabilmente, molti altri sistemi sono mirati allo stesso modo e sono stati selezionati in modo casuale.

È la quantità di qualsiasi servizio accessibile in remoto a ricevere tali tentativi di accesso fittizi. Dal momento che provengono da botnet, che, per definizione, usano molti indirizzi IP, le soluzioni di banning IP come Wordfence sono inefficaci (e si vedono i tentativi di accesso da molti indirizzi diversi proprio perché gli autori delle botnet hanno imparato che ci sono persone che bloccano automaticamente gli indirizzi IP).

    
risposta data 30.10.2013 - 23:16
fonte
1

Come autore di Bad Behavior, I Ho visto questi attacchi botnet prima . Sono orgoglioso di dire che Bad Behavior è ancora l'unico strumento che blocca il loro primo tentativo e senza ricorrere ai divieti IP.

Il più breve sguardo al registro è stato sufficiente a dimostrare che sono tutti server Web compromessi, uno schema molto familiare. Si può facilmente dedurre che sono sotto una sorta di controllo centrale, dal momento che non appena uno di loro colpisce il tuo sito, un altro lo farà poco dopo.

Se la rete bot è stata in grado di compromettere il tuo sito accedendo al tuo account amministratore, probabilmente verrebbe aggiunto alla botnet.

Ti suggerisco vivamente di passare un po 'di tempo indurendo WordPress .

    
risposta data 31.10.2013 - 01:14
fonte
0

Puoi inserire questi due snippet di codice nel tuo file .htaccess. Sostituisci i 000.000.000.000 con qualsiasi indirizzo IP da cui accedi. Chiunque, ma tu tenti di accedere, riceverà un 404.


# allow WP login access from specific IP addresses only
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^000.000.000.000$
RewriteCond %{REMOTE_ADDR} !^000.000.000.000$
RewriteCond %{REMOTE_ADDR} !^000.000.000.000$
RewriteRule ^(.*)$ ^http://%{REMOTE_ADDR}/$ [R=301,L]
</IfModule>

# Allow only login requests coming directly from your domain name
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
</IfModule> 

    
risposta data 26.05.2014 - 19:26
fonte

Leggi altre domande sui tag