Подбор паролей и атаки на WordPress

13. April 2013, 17:14 Безопасность, Новостное

Свежая популярная тема – распределённые атаки на WordPress с перебором паролей администратора сайта. Надо сказать, что в логах веб-сервера действительно заметен рост числа серийных HTTP-запросов POST, с адресом скрипта, который проводит логин пользователей. То есть, я легко нашёл на одном из сайтов более пяти тысяч таких запросов за сутки с одного IP-адреса. А вообще адресов-источников несколько, понятно, но обычно там десятки запросов, не тысячи.

Нельзя сказать, что подобного сканирования не было раньше, но за период с 10 апреля по сегодняшний день – рост на порядок виден невооружённым взглядом. Вот такой теперь Интернет, что тут скажешь. К непрерывному SSH-сканированию добавляются массовые проверки веб-приложений. Хотя, никакой новости тут нет, разве что огромная популярность WordPress-а подгоняет публикации в СМИ.

(Что касается противодействия: я, например, просто настроил динамические правила в брандмауэре, использовав fail2ban + iptables; обычное решение, думаю, что адекватное.)

Адрес записки: https://dxdt.ru/2013/04/13/5703/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 3

  • 1 <t> // 14th April 2013, 16:00 // Читатель jno написал:

    замечу ещё “смещение” того же SSH с 22-го порта – на порядки сокращает “стук” в порт.
    скорее всего, за счёт школоты-скрипткиддиз…

  • 2 <t> // 26th April 2013, 03:08 // Читатель Математик написал:

    Не совсем понял почему атака названа распределенной, если проводится с одного IP? Ну и пожалуй, для тех кому fail2ban + iptables китайский язык, можно порекомендовать сменить имя администратора и усложнить пароль :)

  • 3 <t> // 26th April 2013, 10:28 // Александр Венедюхин:

    > Не совсем понял почему атака названа распределенной, если проводится с одного IP?

    Атака проводится не с одного IP.