¿Ataque de usuario falso de UserAgent?

8

No estoy seguro de si debo reportarlo aquí, pero dentro de mi sitio web recolecto cada solicitud en DB, y de vez en cuando veo estos registros. Entre los datos recopilados se encuentran el agente de usuario, la URL solicitada, la URL de referencia (es decir, la URL anterior, el tiempo y otros).

Hoy encontré un siguiente bot de agente de usuario (que parece ocultar esto):

(Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko

IP:

181.114.49.183

La mayoría de las solicitudes se realizan en intervalos de 1 a 2 segundos, y lo más interesante es qué direcciones URL quiere que mi servidor verifique:

| /wp/wp-login.php | | /blog/wp-login.php | | /site/wp-login.php | | /cms/wp-login.php | | /section/wp-login.php | | /wp-admin/wp-login.php | | /wordpress/wp-login.php |

(de mi base de datos)

El remitente en cada caso es nulo (lo que significa que no hubo un remitente; se esperaba encontrar una página web en este uri).

¿Por qué es posible que un bot quiera verificar si hay una wordpress instalada en una página web y cuál es su url (mi página web no usa wordpress, o cualquier otro CMS)? Para mí, es como buscar una forma posible de ingresar a un panel de administración del sitio web. Y tengo un panel de administración que creé yo mismo.

¿Debo hacer algo al respecto?

    
pregunta forsberg 21.07.2015 - 14:23
fuente

4 respuestas

27

Todas las computadoras con una IP pública reciben este tipo de atención de forma permanente. No hay nada que pueda hacer para detenerlo (una vez traté de quejarme con el proveedor que posee el IP, nunca recibí una respuesta y me di por vencido). Lo que puedes hacer es asegurarte de que estás bien protegido contra un posible ataque (este bot parecía buscar WordPress, pero hay otros que están buscando Apache, ssh, lo que quieras). Algunas reglas:

  • Exponer la menor cantidad de servicios posible. Si no necesita SSH, FTP, etc., desactívelo.
  • Para los servicios que expone (el servidor web en su caso), asegúrese de instalar parches de seguridad con regularidad.
  • Si su servicio tiene algún tipo de autenticación (como la página de administración de WordPress), asegúrese de elegir una contraseña aleatoria segura. Los bots en línea usualmente buscan contraseñas predeterminadas y combinaciones extremadamente débiles como root / r00t, pero no me arriesgaría a usar ninguna palabra del diccionario, o cualquier cosa con menos de 12-16 caracteres.
  • Si desea dejar de gastar recursos en personas que intentan adivinar su contraseña (suponiendo que tenga una buena contraseña) puede instalar Fail2Ban que prohíbe una dirección IP durante 10 minutos después de 6 intentos fallidos de inicio de sesión, lo que hace que los scripts de adivinación de contraseñas sean demasiado lentos. Por supuesto, puede configurar el retraso de la prohibición y el número de intentos que desee.
  • Para los servicios destinados a un grupo específico de usuarios (usted, su empresa, etc.), también puede usar otras técnicas como puerto golpee y limite el acceso a los rangos de IP que probablemente utilice para acceder a sus servicios (solo su país, su ISP, su ISP de trabajo, etc.).
respondido por el Dmitry Grigoryev 21.07.2015 - 14:48
fuente
4

Como dijo @william, no hay nada de qué preocuparse si se trata de un bot (que probablemente no sea así). Si también registra otro tráfico, verá muchos más bots que intentan escanear su servidor, conectarse a través de ssh, rdp ... Estoy registrando el tráfico en mi servidor ssh, y cada día tengo cientos de intentos fallidos de conexión de bots .

Pero si observa también otra actividad sospechosa que no parece tan automatizada, debería mirar los detalles.

    
respondido por el pineappleman 21.07.2015 - 14:43
fuente
2

Es solo un bot automatizado que intenta explotar servidores vulnerables que ejecutan Wordpress. No hay nada de qué preocuparse ni nada que hacer al respecto, solo asegúrese de que no esté ejecutando servicios obsoletos o que alguno de ellos lo encuentre así.

    
respondido por el william 21.07.2015 - 14:29
fuente
1

Podría considerar restringir el acceso de inicio de sesión de WordPress a su propia IP agregando un archivo htaccess a la carpeta / wp-admin.

Todo el mundo que no venga de tu IP recibirá un error 401.

Sin embargo, si permite que usuarios externos inicien sesión en su sitio para comentar o publicar contenido, también se bloquearán a menos que incluya de forma explícita su IP en la lista blanca.

Consulte esta pregunta para ver un ejemplo de archivo htaccess.

    
respondido por el Burgi 21.07.2015 - 17:22
fuente

Lea otras preguntas en las etiquetas