Подбор паролей и атаки на WordPress
Свежая популярная тема – распределённые атаки на WordPress с перебором паролей администратора сайта. Надо сказать, что в логах веб-сервера действительно заметен рост числа серийных HTTP-запросов POST, с адресом скрипта, который проводит логин пользователей. То есть, я легко нашёл на одном из сайтов более пяти тысяч таких запросов за сутки с одного IP-адреса. А вообще адресов-источников несколько, понятно, но обычно там десятки запросов, не тысячи.
Нельзя сказать, что подобного сканирования не было раньше, но за период с 10 апреля по сегодняшний день – рост на порядок виден невооружённым взглядом. Вот такой теперь Интернет, что тут скажешь. К непрерывному SSH-сканированию добавляются массовые проверки веб-приложений. Хотя, никакой новости тут нет, разве что огромная популярность WordPress-а подгоняет публикации в СМИ.
(Что касается противодействия: я, например, просто настроил динамические правила в брандмауэре, использовав fail2ban + iptables; обычное решение, думаю, что адекватное.)
Адрес записки: https://dxdt.ru/2013/04/13/5703/
Похожие записки:
- Полностью зашифрованные протоколы и DPI-блокирование
- Срок действия сертификатов и компрометация ключей
- "Неиспользование интернетов"
- Рассылка SMS и распределённые сети под управлением Telegram
- Реплика: превращение словарных имён королей - Чарльз/Карл
- Encrypted Client Hello и браузеры Google
- Удаление аккаунтов GoDaddy
- Встроенное проксирование в Google Chrome (IP Protection)
- Квантовая криптография и металлический контейнер
- Техническое: Google Public DNS и DNSSEC
- Широкие проблемы применения ИИ
Комментарии читателей блога: 3
1 <t> // 14th April 2013, 16:00 // Читатель jno написал:
замечу ещё “смещение” того же SSH с 22-го порта – на порядки сокращает “стук” в порт.
скорее всего, за счёт школоты-скрипткиддиз…
2 <t> // 26th April 2013, 03:08 // Читатель Математик написал:
Не совсем понял почему атака названа распределенной, если проводится с одного IP? Ну и пожалуй, для тех кому fail2ban + iptables китайский язык, можно порекомендовать сменить имя администратора и усложнить пароль :)
3 <t> // 26th April 2013, 10:28 // Александр Венедюхин:
> Не совсем понял почему атака названа распределенной, если проводится с одного IP?
Атака проводится не с одного IP.