Điều đó có nghĩa là gì khi có nhiều yêu cầu POST đến /wp-login.php trong nhật ký Apache?

15

Các tin nhắn được hướng đến trang web WordPress trên máy chủ của tôi. Chúng đến từ access_log và tôi không biết điều này có làm tôi lo lắng hay không.

Có hơn một trăm dòng tin nhắn giống nhau kéo dài trong vài giây mỗi lần. Nếu bạn không biết ý tôi là gì, thì đây là nhật ký:

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

Tôi vừa mới đếm tất cả các phiên bản cho hai địa chỉ IP này và nó đã được truy cập ít nhất hơn 100.000 lần khác nhau, kể từ ngày 22.

apache-http-server  logging  wordpress 
du lịch
nguồn

Câu trả lời:

30

Ai đó đang cố gắng vũ trang trang đăng nhập của bạn. Yêu cầu POST HTTP được sử dụng cho dữ liệu biểu mẫu HTML, trong trường hợp wp-login.phptrang có thể sẽ là biểu mẫu tên người dùng / mật khẩu.

Đối với WordPress cụ thể, bạn nên đọc trang wiki này , trong đó đề cập đến một số bước hữu ích để thực hiện và bảo vệ ví dụ của bạn, chẳng hạn như:

  • không sử dụng admintên người dùng
  • chọn một mật khẩu mạnh
  • sử dụng plugin để hạn chế các nỗ lực đăng nhập ở cấp độ WordPress, Apache hoặc máy chủ
  • htpasswdbảo vệ trang (với sự trợ giúp của máy phát điện )

Trong mọi trường hợp, thiết lập fail2banlà điều bạn chắc chắn nên xem xét. Nó sẽ hạn chế số lần một IP nhất định có thể cố gắng đăng nhập vào máy của bạn (ví dụ: qua FTP, SSH, v.v.).

slhck
nguồn
Tôi đã cố gắng thiết lập fail2ban nhưng sau đó không thể truy cập máy chủ của tôi. Đã có thể sử dụng khởi động lại an toàn, nhưng không thể loại bỏ nó hoặc bất cứ điều gì. Tôi đã giải quyết vấn đề của mình và tôi thấy rằng những người khác trên Centos 7 cũng gặp vấn đề tương tự. May mắn cho tôi, tôi không có gì trên máy chủ nên tôi chỉ cần cài đặt lại hệ điều hành mất vài phút.
ngày
2
Ah, thật không may. Tôi chưa gặp sự cố với nó trên máy chủ CentOS của mình. Thông thường nó không nên can thiệp quá nhiều.
slhck
Một điều đáng xem xét là PeerGuardian.
paradroid
2
@travis Đó là điều đáng mong đợi khi bạn có thông tin đăng nhập SSH dựa trên mật khẩu .. Bạn nên cân nhắc sử dụng các khóa SSH để xác thực và vô hiệu hóa hoàn toàn đăng nhập dựa trên mật khẩu SSH và có lẽ cũng nên thay đổi cổng SSH mặc định trên máy chủ của bạn
Mùa đông
1
@glglgl Đó là một biện pháp ngăn chặn. Nó ngăn ai đó đi "Tôi tự hỏi nếu điều này không an toàn ..." - sẽ không ngăn chặn một cuộc tấn công có hướng, nhưng sẽ ngăn chặn một tin tặc thông thường. "Một nơi nào khác dễ dàng hơn."
2

Có vẻ như các nỗ lực hack tàn bạo để xâm nhập vào bảng điều khiển quản trị của trang web WordPress. Tôi nhận được tất cả các thời gian trên các trang web WordPress của tôi. Nếu bạn có một người dùng được gọi là admin với mật khẩu 'pass', họ chắc chắn sẽ có được ngay bây giờ.

Cài đặt một plugin bảo mật sẽ chặn địa chỉ IP sau một số lần thử đăng nhập nhất định. Tôi sử dụng Wordfence .

nghịch lý
nguồn
4
Những địa chỉ IP đó dường như đến từ các máy chủ CDN của CloudFlare ở San Francisco và Nhật Bản, điều này hơi lạ.
paradroid
Tôi hy vọng điều đó có nghĩa là trang web đứng sau CloudFlare. Có thể có một X-Forwarded-Fortiêu đề giống như mod_rpafcó thể sử dụng, nhưng nó không được thiết lập
ceejayoz
@ceejayoz Tôi không chắc ý của bạn là gì. Vì wp-login.phpkhông phải là tệp tĩnh, dù sao nó cũng sẽ không có trên CDN. Tôi không hiểu tại sao các kết nối đến này dường như đến từ các máy chủ CDN của CloudFlare. Có lẽ CloudFlare cũng không lưu trữ máy chủ?
paradroid
Bạn có thể (và thường làm) trỏ toàn bộ tên miền của mình tại CloudFlare. Điều đó có nghĩa là các yêu cầu đến - GET và POST, động hoặc tĩnh - trước tiên đi qua CloudFlare và do đó sẽ có IP của chúng.
ceejayoz
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.