3 votes

Abhi avatar

Demandes POST continues sur la page de connexion à wordpress - tentative de piratage ?

Demandé el 12 de Janvier, 2015
Quand la question a-t-elle été
1873 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Depuis ce matin, je suis témoin d'une série de requêtes POST continues frappant l'un des blogs fonctionnant sous le logiciel wordpress sur mon serveur.

Quelques choses à propos de ce schéma :

  1. Ces requêtes continues durent 2 minutes à chaque fois
  2. Pendant cette durée de 2 minutes, 4 requêtes POST frappent chaque seconde à wp-login.php
  3. Ensuite ces requêtes se taisent, et recommencent après 1 heure, durent à nouveau 2 minutes, avec 4 requêtes chaque seconde.
  4. Chaque fois, l'adresse IP est différente
  5. Toutes les IP traçées appartiennent à la Chine
  6. Essayé de bloquer les IPs mais c'est facile pour eux de les éviter, car chaque heure ils frappent avec une nouvelle IP

J'utilise nginx, y a-t-il un moyen de bloquer de telles tentatives de piratage. C'est une préoccupation majeure car lorsque ces requêtes arrivent, plusieurs fois, d'autres sites web fonctionnant sur le même serveur sont perturbés. Si quelqu'un peut fournir des indications sur la manière de sécuriser votre serveur contre de telles tentatives, il est le bienvenu.

Veuillez trouver ci-dessous un extrait des journaux.

xx.153.217.xxx - - [12/janv./2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
xx.153.217.xxx - - [12/janv./2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"
Demandé el 12 de Janvier, 2015 par Abhi

Réponses

Trop de publicités?

13voto

Samat Jain avatar
Samat Jain Points 165

Ma méthode préférée pour gérer cela est de bloquer l'accès à tout ce qui se trouve dans le dossier /wp-admin/ et /wp-login.php partout sauf à une adresse IP connue, comme l'adresse IP de votre bureau. À défaut, envisagez d'utiliser fail2ban ou l'un des nombreux plugins wordpress qui peuvent gérer la limitation de ces tentatives de piratage par force brute.

Répondu el 12 de Janvier, 2015 par Samat Jain (165 Points )

3voto

Hyppy avatar
Hyppy Points 15356

Oui, il s'agit probablement d'une série de tentatives pour compromettre votre serveur.

Assurez-vous de maintenir tout votre système à jour, n'utilisez pas de mots de passe faibles et gardez une série de sauvegardes en cas de succès.

Répondu el 12 de Janvier, 2015 par Hyppy (15356 Points )

0voto

List 25 avatar
List 25 Points 21

Il semble que quelqu'un essaie de pénétrer dans votre système. De nos jours, il existe de nombreux outils de force brute comme THC hydra brutus qui aident à réaliser ce type d'attaques. Ce que je suggère personnellement, c'est de restreindre toutes les autres entrées sauf pour une IP particulière. Pour cela, vous pouvez utiliser le fichier .htaccess.
Vous pouvez aussi utiliser fail2Ban pour une protection supplémentaire. J'espère que cela vous aidera

Répondu el 8 de Avril, 2016 par List 25 (21 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X