Cosa significa quando ci sono molte richieste POST a /wp-login.php nei log di Apache?

15

I messaggi sono diretti verso il sito WordPress sul mio server. Questi provengono da access_log e non so se questo dovrebbe preoccuparmi o no.

Esistono ben più di cento righe dello stesso messaggio che si estendono per alcuni secondi ogni volta. Se non sai cosa intendo, ecco i registri:

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

Ho appena contato tutte le istanze per questi due indirizzi IP, ed è stato effettuato l'accesso a oltre 100.000 volte diverse, dal 22.

apache-http-server  logging  wordpress 
travis
fonte

Risposte:

30

Qualcuno sta cercando di forzare la tua pagina di accesso. Le richieste HTTP POST vengono utilizzate per i dati del modulo HTML, che nel caso di una wp-login.phppagina sarà probabilmente il modulo nome utente / password.

Per WordPress in particolare, dovresti leggere questa pagina wiki , che menziona una serie di passaggi utili per eseguire e proteggere la tua istanza, come ad esempio:

  • non usando il adminnome utente
  • scegliere una password sicura
  • utilizzando plugin per limitare i tentativi di accesso a livello di WordPress, Apache o server
  • htpasswd-protezione della pagina (con l'aiuto di un generatore )

In ogni caso, l'installazione fail2banè qualcosa che dovresti assolutamente considerare. Limita il numero di volte in cui un determinato IP può tentare di accedere al tuo computer (ad es. Tramite FTP, SSH, ecc.).

slhck
fonte
Ho provato a installare fail2ban ma poi mi è stato impossibile accedere al mio server. È stato in grado di utilizzare il riavvio sicuro, ma non è stato in grado di rimuoverlo o altro. Ho cercato su Google il mio problema e ho scoperto che altri su Centos 7 avevano lo stesso problema. Fortunatamente per me, non avevo nulla sul server, quindi ho appena reinstallato il sistema operativo che ha richiesto alcuni minuti.
Travis,
2
Ah, è un peccato. Non ho avuto problemi con esso sul mio server CentOS. Normalmente non dovrebbe interferire così tanto.
slhck,
Un'altra cosa da considerare è PeerGuardian.
paradroid,
2
@travis Questo è qualcosa che ci si aspetta quando si hanno accessi SSH basati su password. Dovresti prendere in considerazione l'uso delle chiavi SSH per l'autenticazione e disabilitare completamente l'accesso basato su password SSH, ed è probabilmente anche una buona idea cambiare la porta SSH predefinita sul tuo server
Inverno
1
@glglgl È un deterrente. Impedisce a qualcuno di andare "Mi chiedo se questo non è sicuro ..." - non fermerà un attacco diretto, ma fermerà un hacker occasionale. "Da qualche altra parte è più facile."
2

Sembra che i tentativi di hacking della forza bruta entrino nella console di amministrazione del sito WordPress. Ottengo questi continuamente sui miei siti WordPress. Se avessi un utente chiamato admin con la password "pass", sicuramente sarebbero entrati.

Installa un plug-in di sicurezza che blocchi gli indirizzi IP dopo un certo numero di tentativi di accesso. Uso Wordfence .

Paradroid
fonte
4
Questi indirizzi IP sembrano provenire da server CDN CloudFlare a San Francisco e in Giappone, il che è un po 'strano.
paradroid,
Mi aspetto che ciò significhi che il sito è dietro CloudFlare. Probabilmente c'è X-Forwarded-Forun'intestazione che qualcosa come mod_rpafpotrebbe usare, ma non è impostata per
ceejayoz,
@ceejayoz Non sono sicuro di cosa intendi. Poiché wp-login.phpnon è un file statico, non sarà comunque sulla CDN. Non capisco perché queste connessioni in entrata sembrano provenire dai server CDN CloudFlare. Forse CloudFlare fa anche l'hosting del server?
paradroid,
Puoi (e di solito lo fai) indirizzare l'intero dominio su CloudFlare. Ciò significa che le richieste in arrivo - GET e POST, dinamiche o statiche - passano prima attraverso CloudFlare e quindi avrebbero i loro IP.
Ceejayoz,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.