Was bedeutet es, wenn es in Apache-Protokollen viele POST-Anfragen nach /wp-login.php gibt?

15

Die Nachrichten richten sich an die WordPress- Site auf meinem Server. Diese kommen aus dem access_log, und ich weiß nicht, ob mich das beunruhigen sollte oder nicht.

Es gibt weit über hundert Zeilen derselben Nachricht, die sich jeweils über einige Sekunden erstrecken. Wenn Sie nicht wissen, was ich meine, hier sind die Protokolle:

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

Ich habe gerade alle Instanzen für diese beiden IP-Adressen gezählt, und seit dem 22. wurde mindestens mehr als 100.000 Mal auf sie zugegriffen.

apache-http-server logging wordpress Travis
quelle

Antworten:

30

Jemand versucht, Ihre Anmeldeseite brutal zu erzwingen. HTTP-POST-Anforderungen werden für HTML-Formulardaten verwendet, bei denen es sich im Falle einer wp-login.phpSeite wahrscheinlich um das Benutzername / Kennwort-Formular handelt.

Speziell für WordPress sollten Sie diese Wiki-Seite lesen , die eine Reihe nützlicher Schritte zum Ausführen und Schützen Ihrer Instanz aufführt, wie z.

  • ohne den adminBenutzernamen
  • ein sicheres Passwort wählen
  • Verwenden von Plugins, um Anmeldeversuche auf WordPress-, Apache- oder Serverebene einzuschränken
  • htpasswd-Schützen der Seite (mit Hilfe eines Generators )

Das Einrichten fail2bansollte auf jeden Fall in Betracht gezogen werden. Dadurch wird die Anzahl der Versuche einer bestimmten IP-Adresse eingeschränkt, sich auf Ihrem Computer anzumelden (z. B. über FTP, SSH usw.).

slhck
quelle
Ich habe versucht, fail2ban einzurichten, aber dann war es unmöglich, auf meinen Server zuzugreifen. Konnte einen sicheren Neustart verwenden, konnte ihn jedoch nicht entfernen. Ich habe mein Problem gegoogelt und festgestellt, dass andere auf Centos 7 das gleiche Problem hatten. Zum Glück hatte ich nichts auf dem Server, also habe ich einfach das Betriebssystem neu installiert, was ein paar Minuten gedauert hat.
Travis
2
Ah, das ist bedauerlich. Ich habe auf meinem CentOS-Server keine Probleme damit gehabt. Normalerweise sollte es nicht so sehr stören.
Slhck
Eine andere erwägenswerte Sache ist PeerGuardian.
Paradroid
2
@travis Das ist etwas zu erwarten, wenn Sie das Kennwort basiert SSH - Logins haben .. Sie sollten mit SSH - Schlüssel für die Authentifizierung und das Deaktivieren des SSH - Passwort prüfen alleinig Login, und es ist wahrscheinlich auch eine gute Idee , den Standard - SSH - Port auf dem Server zu ändern
Winter
1
Es ist eine Abschreckung. Es hindert jemanden daran, "Ich frage mich, ob dies unsicher ist ..." - einen gezielten Angriff nicht zu stoppen, sondern einen zufälligen Hacker aufzuhalten. "Woanders ist es einfacher."
2

Es sieht aus wie Brute-Force-Hacking-Versuche, in die Admin-Konsole der WordPress-Site zu gelangen. Ich bekomme diese die ganze Zeit auf meinen WordPress-Sites. Wenn Sie einen Benutzer namens admin mit dem Kennwort 'pass' hätten, wären diese Benutzer sicherlich inzwischen eingestiegen.

Installieren Sie ein Sicherheits-Plugin, das nach einer bestimmten Anzahl von Anmeldeversuchen IP-Adressen blockiert. Ich benutze Wordfence .

paradroid
quelle
4
Diese IP-Adressen stammen anscheinend von CloudFlare-CDN-Servern in San Francisco und Japan, was etwas seltsam ist.
Paradroid
Ich würde erwarten, dass dies bedeutet, dass die Website hinter CloudFlare steht. Es gibt wahrscheinlich einen X-Forwarded-ForHeader, den so etwas verwenden mod_rpafkönnte, aber er ist nicht auf
ceejayoz 27.10.14
@ceejayoz Ich bin nicht sicher, was du meinst. Da wp-login.phpes sich nicht um eine statische Datei handelt, befindet sie sich ohnehin nicht auf dem CDN. Ich verstehe nicht, warum diese eingehenden Verbindungen von CloudFlare CDN-Servern zu stammen scheinen. Vielleicht macht CloudFlare auch Serverhosting?
Paradroid
Sie können (und in der Regel) Ihre gesamte Domain auf CloudFlare verweisen. Das bedeutet, dass eingehende Anforderungen - GET und POST, dynamisch oder statisch - zuerst CloudFlare durchlaufen und somit ihre IPs haben.
Ceejayoz