Cómo averiguar quién está golpeando mi instalación de WP con intentos de inicio de sesión falsos

Navega tus respuestas
1

Tengo una instalación de WordPress que usa el complemento Wordfence. Configuré Wordfence para bloquear la IP de cualquiera que intente iniciar sesión con un nombre de usuario inexistente.

Desde hace varios meses, he estado recibiendo muchos intentos de inicio de sesión por día con el nombre de usuario admin . El patrón habitual es que el intento se realiza en una IP, esa IP se bloquea, y luego, aproximadamente una hora más tarde, se realiza otro intento en una IP y host totalmente no relacionados.

Algunas veces es más de una vez por hora, y otras veces no consigo nada durante unos días.

Hoy he notado un aumento dramático en el número y la frecuencia de intentos. A veces me doy cuenta de que los intentos de inicio de sesión se realizan desde direcciones IP similares desde el mismo host aproximadamente al mismo tiempo.

Hasta ahora no hay conjeturas con otros nombres de usuario que no sean admin . Obviamente, esto no representa una amenaza para mí, ya que solo se trata de acceder a una cuenta inexistente, pero no me gusta tener que prohibir, ni siquiera temporalmente, tantas IPs.

¿Hay alguna forma de rastrear qué está causando esto? ¿Es un script con una botnet? ¿Se está utilizando un proxy determinado? ¿Se están falsificando las IPs? ¿Hay alguna forma de reconocer el script que está haciendo esto y bloquearlo específicamente?

Aquí hay información sobre algunos de los intentos más recientes para iniciar sesión desde hoy, con tiempo de intento, IP y nombre de host: 

12:51:05 AM
User IP: 174.121.79.2
User hostname: kenley.accountservergroup.com

12:51:08 AM
User IP: 64.34.111.218
User hostname: cpweb17.idig.net

12:54:36 AM
User IP: 66.147.244.96
User hostname: box796.bluehost.com

12:54:38 AM
User IP: 91.148.192.40
User hostname: avatar.dicode.nl

12:54:41 AM
User IP: 77.81.241.223
User hostname: 223.241.81.77.static.intovps.com

01:04:24 AM
User IP: 188.40.2.4
User hostname: www184.your-server.de

01:04:28 AM
User IP: 69.89.31.190
User hostname: box390.bluehost.com

01:04:31 AM
User IP: 66.147.244.192
User hostname: box692.bluehost.com

01:12:49 AM
User IP: 67.20.76.102
User hostname: host402.hostmonster.com

03:14:16 AM
User IP: 213.133.104.90
User hostname: www90.your-server.de

03:14:19 AM
User IP: 184.168.112.26
User hostname: ip-184-168-112-26.ip.secureserver.net

03:14:22 AM
User IP: 69.160.46.103
User hostname: purple.streamblues.com

04:09:13 AM
User IP: 54.215.196.56
User hostname: ec2-54-215-196-56.us-west-1.compute.amazonaws.com

04:09:16 AM
User IP: 192.163.233.135
User hostname: hos.hostplanet.ca

04:09:17 AM
User IP: 69.73.175.234
User hostname: midwestmonitor02.midwestmonitor.com

04:12:00 AM
User IP: 173.254.28.87
User hostname: just87.justhost.com

04:24:58 AM
User IP: 74.220.219.131
User hostname: box531.bluehost.com

04:25:01 AM
User IP: 69.89.31.202
User hostname: box402.bluehost.com

04:25:04 AM
User IP: 66.147.244.180
User hostname: box680.bluehost.com

04:27:56 AM
User IP: 178.32.177.13
User hostname:

04:27:59 AM
User IP: 69.89.31.78
User hostname: box278.bluehost.com

06:26:00 AM
User IP: 50.87.23.91
User hostname: 50-87-23-91.unifiedlayer.com

06:26:03 AM
User IP: 84.200.252.101
User hostname: web1.xlhost.de

06:26:06 AM
User IP: 209.237.142.216
User hostname: host216.hosting.register.com

07:20:55 AM
User IP: 37.59.34.44
User hostname: ns237003.ovh.net

07:21:01 AM
User IP: 66.147.242.175
User hostname: box575.bluehost.com

07:23:07 AM
User IP: 67.23.226.7
User hostname: reach.nseasy.com

07:23:13 AM
User IP: 63.247.141.31
User hostname: ava.claimtheweb.com

07:28:18 AM
User IP: 69.195.75.28
User hostname: 69-195-75-28.unifiedlayer.com

07:40:47 AM
User IP: 216.22.25.193
User hostname: vps.redber.net

07:40:49 AM
User IP: 23.21.90.33
User hostname: ec2-23-21-90-33.compute-1.amazonaws.com

09:35:04 AM
User IP: 67.23.243.30
User hostname: server.bludomain6.net

09:35:08 AM
User IP: 78.142.160.203
User hostname: bsm.at

10:30:13 AM
User IP: 70.40.220.107
User hostname: box607.bluehost.com

10:33:19 AM
User IP: 69.89.31.159
User hostname: box359.bluehost.com

10:39:05 AM
User IP: 198.57.224.136
User hostname: pro.probatelawyer.org

10:39:14 AM
User IP: 91.146.107.85
User hostname: oregon.footholds.net

10:39:18 AM
User IP: 189.113.5.83
User hostname: hw82.webservidor.net

10:55:42 AM
User IP: 217.149.62.1
User hostname: web-62-1.webhotelli.fi

10:55:46 AM
User IP: 216.246.7.21
User hostname: vserver.mydevteam.net

10:55:49 AM
User IP: 74.220.215.238
User hostname: host238.hostmonster.com

11:26:13 AM
User IP: 213.60.51.127
User hostname: 127.51.60.213.static.mundo-r.com

12:44:31 PM
User IP: 74.220.215.74
User hostname: host274.hostmonster.com

12:44:34 PM
User IP: 74.220.215.243
User hostname: host243.hostmonster.com
    
pregunta brentonstrine 30.10.2013 - 22:06
fuente

4 respuestas

1

Por su descripción, suena como si fuera una botnet de algún tipo.

Pero es poco probable que esa información ayude de alguna manera.

Es poco probable que veas la secuencia de comandos que se está ejecutando (o los comandos C & C que se envían a la red de bots), por lo que es improbable que exista una vía de defensa ... a menos que seas el FBI o similar. Y las botnets pueden tener cualquier dirección IP y estar en cualquier lugar.

Pero para ser honesto, ese fin de las cosas es irrelevante. Como @Rook declaró correctamente, la mejor suposición es que Internet te está atacando. Solo bloquea cada IP que detectes atacar. Funciona. Es una práctica estándar.

    
respondido por el Rory Alsop 30.10.2013 - 23:14
fuente
1

Probablemente se trata de una red de bots que trata de encontrar otros hosts para infectar de forma automática. Probablemente, muchos otros sistemas están orientados de manera similar, y fueron seleccionados al azar.

Es el lote de cualquier servicio de acceso remoto recibir tales intentos de inicio de sesión falsos. Dado que provienen de redes de bots, que, por definición, utilizan muchas direcciones IP, las soluciones de prohibición de IP como Wordfence son ineficaces (y usted ve los intentos de inicio de sesión de muchas direcciones diferentes precisamente porque los autores de la red de bots han aprendido que hay personas que bloquean automáticamente las direcciones IP).

    
respondido por el Thomas Pornin 30.10.2013 - 23:16
fuente
1

Como autor de Bad Behavior, I He visto estos ataques de botnet antes . Me enorgullece decir que Mal Comportamiento sigue siendo la única herramienta que bloquea su primer intento y sin recurrir a las prohibiciones de IP.

La mirada más breve a su registro fue suficiente para demostrar que todos son servidores web comprometidos, un patrón muy familiar. Uno puede inferir fácilmente que están bajo algún tipo de control central, ya que tan pronto como uno de ellos llega a su sitio, otro lo hace poco después.

Si la botnet pudiera poner en peligro su sitio al iniciar sesión en su cuenta de administrador, es probable que se agregue a la botnet.

Le sugiero encarecidamente que pase algo de tiempo endurecimiento de WordPress .

    
respondido por el Michael Hampton 31.10.2013 - 01:14
fuente
0

Puede colocar estos dos fragmentos de código en su archivo .htaccess. Reemplace el 000.000.000.000 con las direcciones IP desde las que inicie sesión. Cualquier persona que intente iniciar sesión obtendrá un 404. 


# allow WP login access from specific IP addresses only
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^000.000.000.000$
RewriteCond %{REMOTE_ADDR} !^000.000.000.000$
RewriteCond %{REMOTE_ADDR} !^000.000.000.000$
RewriteRule ^(.*)$ ^http://%{REMOTE_ADDR}/$ [R=301,L]
</IfModule>

# Allow only login requests coming directly from your domain name
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
</IfModule>
    
respondido por el ovtorne 26.05.2014 - 19:26
fuente

Lea otras preguntas en las etiquetas

OpenSSL DH modp size Formas amigables con el medio ambiente para destruir discos duros