¿Cómo han adivinado los robots mi página de inicio de sesión de wordpress?

Navega tus respuestas
6

Tengo un sitio de wordpress (completamente parcheado) que solía recibir muchos intentos de inicio de sesión basados en ataques de diccionario. Cambié mi usuario administrador a algo poco común y uso una contraseña muy segura.

Aparte de eso, cambié mi página de inicio de sesión utilizando renombrar wp-login.php plugin . Cambié mi url de inicio de sesión a algo como enlace . Durante años, los bots no pudieron adivinar mi página de inicio de sesión (aún teniendo muchos 404s).

Por segunda vez en un mes. La primera vez que tuve un intento fallido y cambié la URL a enlace y no pensé mucho en ello. La segunda vez que pasó hoy. Eventos exactos:

19 de abril

  • Inicio de sesión exitoso desde la oficina de mi empleador (a través de proxy) a enlace a las 18:00 desde la computadora portátil de mi empresa.
  • 2 intentos fallidos de 70.32.73.128 ( informe sobre la IP ), una IP de California, a las 02:54 a.m. GMT (Parece que el servidor está pirateado) usando admin nombre de usuario (que por cierto no existe en mi wordpress)
  • He cambiado la contraseña y la URL a enlace
  • He habilitado la captura de contraseñas entrantes en el registro.

Ahora

  • Ayer (11:10 am) accedí al blog para corregir una entrada de la red de mi empleador (el mismo proxy).
  • Hoy a las 11:55 1 intento fallido de 213.248.63.27 ( Informe total de virus sobre el IP ), una IP rusa con sitios sospechosos como vrn.sauna.ru (probablemente URL de NSFW). Utilizó oscarfoley como nombre de usuario sin contraseña (mi nombre de usuario no es oscarfoley o similar)

Me siento bastante seguro ya que el bot tiene que adivinar la página de inicio de sesión, el usuario administrador y el pase. Sin embargo, al leer este sitio estoy un poco paranoico. Así que mi pregunta principal es:

¿Cómo ha "adivinado" el robot la página de inicio de sesión en papel o lápiz?

  • ¿Podría estar comprometida la red / proxy de mi empleador? (Como un hacker que tiene acceso a los registros de proxy ...)
  • ¿Podría ser un ataque de diccionario amplio (algo así como una bota que escanea todos los servidores de wordpress en Internet para ver si la página de inicio de sesión es un lápiz)? ... o una vulnerabilidad en wordpress?
  • ¿Hay algo más que deba hacer para protegerme?
  • ¿Podría ser un ataque personal utilizando información pública en Internet? ¿O un bot que usa información pública para ataques amplios?
  • ¿Por qué la contraseña vacía?
  • ¿Cómo puedo estar seguro de que no estoy hackeado? (Olvídate de esto, ya que está bastante bien, respondió en esta pregunta )
  • ¿Se podría hackear mi computadora portátil o mi PC en casa y obtener la url de ella? Supongo que no, porque de lo contrario tendrían mi contraseña ...

EDIT : para ser más claros, el atacante golpeó la URL de inicio de sesión directamente, sin intentos fallidos en otras URL similares. Verifique aquí los últimos 404 errores:

    
pregunta Oscar Foley 11.05.2016 - 15:31
fuente

3 respuestas

2

Muchas herramientas de escaneo web (por ejemplo, Wikto ) tienen la capacidad de lanzar conjeturas de fuerza bruta contra una URL. No hay nada que impida que un atacante use un diccionario y diga curl o wget a bruteforce: 

while read line
 do
   wget -qO - http://yoursite.com/$line
 done < /usr/share/dictionary/wordlist

Una tarea común que haría para hacer un pentesting sería algo similar a lo anterior, donde obtendría una copia del sitio, analizaría cada palabra, colocaría cada palabra en una nueva línea y luego buscaría en el sitio los directorios de cualquier palabra enumerada en su sitio. Esto también fue útil para el nombre de usuario varias veces.

Ahora menciona wordpress, y debe decirse que cuando usa complementos, algunos de esos complementos pueden contener "pingbacks" o "bueno, también uso este complemento" donde se incluiría su sitio. Este podría ser otro vector donde un atacante vio su sitio en otro lugar y lo apuntó. En cuanto a WP en general, sitios como " Scritch " pueden decirle a alguien qué se está ejecutando en el sitio (CMS), qué complementos están en uso , etc. Así que imagina lo siguiente: el atacante ve tu sitio en decir un pingback, toma el nombre del sitio, lo mete en scritch. Determina que te atacarán. No encuentran la página de inicio de sesión, por lo que utilizan una táctica similar (script de shell) para encontrar algo .

Me preocuparía poco por los atacantes y me concentraría en crear, por ejemplo, una regla mod_rewrite o un archivo htaccess similar al siguiente: 

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?oscarfoley\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin-login$
RewriteCond %{REMOTE_ADDR} !^1\.2\.3\.4$
RewriteCond %{REMOTE_ADDR} !^5\.6\.7\.8$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

Donde 1.2.3.4 es su dirección de inicio, y 5.6.7.8 es quizás la página de su empresa y puede acabar con las preocupaciones de alguien que intente atacar con fuerza bruta a través de la página de inicio de sesión. Otra alternativa que es la seguridad a través de la oscuridad sería crear una URL basada en, por ejemplo, una suma de comprobación SHA1 de una palabra, en lugar de una palabra. Por ejemplo, 

$ echo 0sc@r | shasum5.16 -a 1
2ee681adc62a5ca2865bb7424b6a97a9050ddcd4  -

Donde 2ee681adc62a5ca2865bb7424b6a97a9050ddcd4 se convierte en tu URL de inicio de sesión. Nuevamente, la seguridad a través de la oscuridad, pero la noción aquí es que alguien adivinó esa URL en algún momento, puede deducir que su tráfico fue detectado de alguna manera, o guardado en algún lugar.

AÑADIDO DEBIDO A OP EDIT

Los 404s de una dirección significan poco hasta cierto punto. No tiene idea si la conexión de la dirección está funcionando en conexión con otra dirección que realiza intentos de fuerza bruta. (por ejemplo, escaneo / intercambio distribuido)

    
respondido por el munkeyoto 11.05.2016 - 16:37
fuente
1

Bueno, el lápiz y el papel van juntos ... así que tal vez el atacante simplemente adivinó después de encontrar 

?pencil
¿Por qué no hacer que sea una cosa generada aleatoriamente usando algo como pwgen, con una longitud ridículamente grande, como 50, así que algo como 
/0gGF9ZAt7us0WbnntE3rqqrRK1PohXjU6Kk6tuRfCMMJdJmZIf
como página de inicio de sesión e inicio de sesión es igualmente ridículo?     
respondido por el PMARINA 11.05.2016 - 15:55
fuente
1

su solución es una página de inicio de sesión basada en IP. Es decir. tienes una lista de direcciones IP estáticas, se les permite abrir la página de inicio de sesión real, otras son redirigidas a una trampa para recopilar el nombre de usuario y la contraseña para un intento de robo + lista negra de la IP de un atacante. ¿De dónde puede estar adivinando? Una respuesta es ... el "software de seguridad" de sus barras de herramientas / complementos + antivirus. Sí, sí se filtran datos. También los registros de proxy de su empleador pueden ser sospechosos. Pruebe un Linux en blanco instalado en una Raspberry Pi 2 con un navegador en blanco sin complementos, y utilícelo y SOLO para iniciar sesión en su wordpress, no en el proxy de su empleador. Y eche un vistazo: la nueva dirección de inicio de sesión estará en uso.

    
respondido por el Alexey Vesnin 11.05.2016 - 17:04
fuente

Lea otras preguntas en las etiquetas

Cuando se presentó Shellshock, ¿qué tan malo fue ** entonces **? ¿GuardedString de Oracle protege los datos confidenciales contra el montón o volcados de memoria?