Intento de inicio de sesión de fuerza bruta de IP falsificadas

7

Veo que muchas de mis instalaciones de WordPress están siendo afectadas con más de 1000 intentos de inicio de sesión fallidos usando un nombre de cuenta "admin" que no existe. Las solicitudes provienen de direcciones IP diferentes cada vez, y veo las direcciones IP como 8.8.8.8 (DNS público de Google) como el origen de algunos de los intentos de inicio de sesión.

Uso WordFence para detectar y bloquear estos intentos, pero el bloqueo se basa en IP, por lo que no es tan eficiente.

Mi pregunta es:

  • ¿Es "normal" que los sitios de WordPress de bajo perfil obtengan estos "ataques"? He notado un aumento en los registros durante los primeros días de 2013.

  • ¿Es algo de qué preocuparse, y es posible detectar / verificar si una solicitud de inicio de sesión proviene de una IP falsificada?

pregunta mikkelbreum 13.01.2013 - 16:29
fuente

1 respuesta

9

Es imposible falsificar su dirección IP de una conexión TCP debido al protocolo de enlace de 3 vías ... A menos que la aplicación sea vulnerable a CWE-291: Confiar en una dirección IP autoinformada

Efectivamente en ./wordfence/lib/wfUtils.php en la línea 77:

public static function getIP(){
    $IP = 0;
    if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){
        $IP = $_SERVER['HTTP_X_FORWARDED_FOR'];

Entonces, sí, la razón por la que está viendo intentos de fuerza bruta de 8.8.8.8 es porque WordFence es vulnerable a CWE-291. Estoy informando de esta vulnerabilidad a WordFence, pero para ser honesto, esta vulnerabilidad es dolorosamente obvia. Si el desarrollador no comprende ni siquiera las fallas más básicas de la información confiada de los atacantes, entonces probablemente hayan cometido otros errores graves que afectan la seguridad, huelo la sangre.

Es posible que un sistema de seguridad pueda hacer que su sistema en general sea menos seguro. Esto no es nada nuevo, se han encontrado vulnerabilidades de ejecución remota de código en el software antivirus. La complejidad es el peor enemigo de la seguridad.

    
respondido por el rook 14.01.2013 - 17:49
fuente

Lea otras preguntas en las etiquetas