Estoy alojando algunos sitios de wordpress en un servidor web apache 2.4, y he descubierto miles de entradas en los registros de mi servidor de esta manera:
221.219.219.248 - - [09/Mar/2015:03:29:25 +1300] "GET /example.com/wp-login.php HTTP/1.1" 200 6656 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
221.219.219.248 - - [09/Mar/2015:03:29:26 +1300] "POST /wp-login.php HTTP/1.1" 302 644 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
y decenas de miles de entradas como esta:
162.144.120.185 - - [13/Mar/2015:07:19:18 +1300] "POST /wp-login.php HTTP/1.0" 302 608 "-" "-"
En estos casos, el servidor está dando una respuesta 302
, que me parece que wordpress los está redirigiendo de nuevo a la página de inicio de sesión, lo que indica un intento de inicio de sesión fallido.
luego vi entradas como esta
78.7.148.218 - - [14/Mar/2015:06:42:31 +1300] "POST /wp-login.php HTTP/1.1" 200 1695 "http://example.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0"
donde la respuesta HTTP es un 200
.
¿Los intentos de inicio de sesión de fuerza bruta obtuvieron contraseñas y son estos inicios de sesión exitosos?