Поддержка Проблемы и решения брутфорс на WordPress

  • Ребят, подскажите пожалуйста. Сдуру установил WordPress(уже удалил). Дак вот, после установки и пару дней использования в логах начали появляться подозрительные записи

    
    178.128.51.162 - - [19/Jan/2021:13:51:29 +0300] "POST /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    178.128.51.162 - - [19/Jan/2021:13:51:30 +0300] "GET /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    178.128.51.162 - - [19/Jan/2021:13:51:32 +0300] "POST /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    178.128.51.162 - - [19/Jan/2021:13:51:35 +0300] "POST /xmlrpc.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    34.91.229.219 - - [19/Jan/2021:14:00:21 +0300] "GET /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    34.91.229.219 - - [19/Jan/2021:14:00:21 +0300] "POST /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    34.91.229.219 - - [19/Jan/2021:14:00:22 +0300] "GET /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    34.91.229.219 - - [19/Jan/2021:14:00:22 +0300] "POST /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    34.91.229.219 - - [19/Jan/2021:14:00:22 +0300] "POST /xmlrpc.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    139.59.78.248 - - [19/Jan/2021:14:11:52 +0300] "GET /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    139.59.78.248 - - [19/Jan/2021:14:11:58 +0300] "POST /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    139.59.78.248 - - [19/Jan/2021:14:12:04 +0300] "GET /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    139.59.78.248 - - [19/Jan/2021:14:12:10 +0300] "POST /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    139.59.78.248 - - [19/Jan/2021:14:12:15 +0300] "POST /xmlrpc.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    35.198.195.1 - - [19/Jan/2021:14:21:27 +0300] "GET /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    35.198.195.1 - - [19/Jan/2021:14:21:29 +0300] "POST /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    35.198.195.1 - - [19/Jan/2021:14:21:30 +0300] "GET /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    35.198.195.1 - - [19/Jan/2021:14:21:32 +0300] "POST /wp-login.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    35.198.195.1 - - [19/Jan/2021:14:21:33 +0300] "POST /xmlrpc.php HTTP/1.1" 403 146 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0"
    

    Я так понял что-то из WordPress слило кому-то мой ip и этот бот теперь хочет анала от меня. Самое интересное, я не каких левых расширений не устанавливал. Установил только woocomers из магазина и пару тем от туда же. Это что, сливы на официальном уровне?

Просмотр 7 ответов — с 1 по 7 (всего 7)
  • Да, ты теперь чипирован и в цру знают каждый твой вдох

    а что это? атака именно на WordPress. До этого ни разу такого не было, пока он не появился, причем без левых расширений

    Модератор Yui

    (@fierevere)

    ゆい

    а что это?

    реалии современного интернета.

    Поэтому и существуют горы руководств и несколько десятков плагинов защиты от атак перебора пароля.

    А причина простая, многие ставят пароль 12345, считая его надежным.

    Это проблема не только WP, другие CMS тоже подвержены атакам, просто они гораздо менее популярны.
    Данные для этого сливать не требуется никуда, боты сами ищут и сами находят, быстро.

    реалии современного интернета.

    я могу это понять с 22 портом.

    боты и раньше пытались проникнуть(естественно) на 80 порт. Но обычно это localhost. localhost у меня заблокирован. Без доменного имени они никак не могут найти wordpress. На джумлу у меня так не покушались

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    другие CMS тоже подвержены атакам, просто они гораздо менее популярны.

    Поскольку практически все атаки ведутся в автоматическом режиме, для них часто не имеет значения, есть ли вообще на сайте CMS — запросы отправляются даже на сайты на простом HTML. Атакующие сети стремятся выполнить как можно больше запросов в единицу времени, а дополнительные проверки только замедляют этот процесс.

    для них часто не имеет значения, есть ли вообще на сайте CMS

    У меня заблокирован доступ вида ip:port на сайты. Разрешен доступ только по доменному имени. Соответственно сканеры без знания доменного имени не могут пробраться. По этому я и сделал вывод, что wp — дырка.

    Атаки шли конкретно на домен и конкретно на wp-login и 2 файл, как там его, не помню.

Просмотр 7 ответов — с 1 по 7 (всего 7)