Al revisar mis archivos de registro de Apache (formato de registro de archivo de registro "combinado"), veo una gran cantidad de solicitudes de URL que terminan en "wp-admin". Esto es bastante raro, ya que mi servidor no ejecuta WordPress. También tengo un documento 404 que es un programa PHP que registra $ _REQUEST, $ _SERVER, $ _COOKIE y $ _FILES. Al parecer, he eliminado un montón de esa salida, pero en lo que he conservado, ninguna de las solicitudes de URL "wp-admin" tiene cookies de inicio de sesión de WordPress.
Por lo que puedo decir, este es un nuevo ataque, no tengo registro del último verano.
¿Qué está pasando aquí? Una instalación real de WordPress simplemente redirige al inicio de sesión de WordPress. Un WordPress no configurado simplemente da un mensaje de error. ¿Qué demonios puedes averiguar de esta información?
ACTUALIZACIÓN : agregue información adicional solicitada por un contestador. Esto es de una sonda "típica".
Complete la URL solicitada: enlace
No hay cookies, ni siquiera el "wordpress_test_cookie" que WordPress 'wp-login.php envía con su pantalla de inicio de sesión HTML, HTTP GET, sin parámetros GET. Ninguna cadena de User-Agent. Conexión: Cerrar.
p0f dice que proviene de "Linux 2.6 (más nuevo, 10) (posiblemente Ubuntu 11.04)".
En otras solicitudes similares, la URL puede terminar en /blog/wp-admin/ , /wordpress/wp-admin/ o /wp/wp-admin/ . y en muy pocos casos, /wordpress/wordpress/wp-admin/ . Cada solicitud de este tipo comparte la falta de cookies, ninguna cadena User-Agent, el método GET y ningún parámetro GET en la URL, junto con "Conexión: Cerrar". Tendría que hacer un poco de trabajo para obtener un rango de número de puerto TCP del remitente, y una mejor recopilación de lo que p0f cree que es el sistema operativo de envío.