Folyamatos támadás

Naponta 50-100 ilyen jön:
“A lockdown event has occurred due to too many failed login attempts or invalid username:
Username: admin
IP Address: 77.81.16.196”
Különböző IP címekről.
WP Security-t használok az oldalon, meg persze nem “admin” az admin.
Amúgy ezek mik? Botok próbálkoznak? Vagy ténylegesen ott ül az IT szakember és pötyögi?
Lehet tenni valamit ellenük? Vagy vegyem ki az értesítő email-t, ha zavar? :slight_smile:

Szervusz!

Létező honlapok üzemeltetek, arra törekszem, hogy semmi hiba ne legyen évekig,
a fókuszom a sebességen, üzembiztonságon és a betöréseken van.

A munkámról 3 mp-ben https://www.szepe.net/
1 percben https://github.com/szepeviktor/debian-server-tools/blob/master/CV.md
1 nap alatt https://github.com/szepeviktor/debian-server-tools/blob/master/webserver/Production-website.md
itt minden ismeretemet elolvashatod, a szoftvereimet letöltheted https://github.com/szepeviktor
Esetleg felhívhatlak?

Minden jót kívánok!

SZÉPE Viktor, webes alkalmazás üzemeltetés / Running your application


ügyelet/hotline: +36-20-4242498 sms@szepe.net skype: szepe.viktor
Budapest, III. kerület

Nagyüzemben csinálják https://www.abuseipdb.com/check/77.81.16.196

Köszönöm szépen a választ! Úgy látom az marad, hogy szorgalmasan nyomkodom a DELETE-t :slight_smile:

Szia! Ezt botok csinálják, nem kézzel próbálkoznak. Írnak egy script-et, ami pl. egy meglévő adatbázis alapján végigmegy sok weboldalakon. Ha használod a plugint, amit írtál, ott a Wp security -> Brute force pontban a “Enable Rename Login Page Feature:” -résznál állítsd át egydi url re a belépési pontot (pl: belepes2109) vagy bármire, illetve ugyan itt a capctha-t is be tudod állítani. Ez teljesen megfogja, maximum ha figyeled a 404-es oldalakat, akkor ezek generálhatnak ilyenenet, de nem kell foglalkozni velük, ezzel a résszel felesleges. Ezt minden oldalon eljátsszák, csak pl te tudsz róla, de sokan nem is figyelik, de ott is ez van.

Emiatt no para! Ezt kb x trillió oldalon eljátsszák! Ez ilyen “alap”. Én megmondom neked, nem emiatt lesz bajod, hanem amiatt, hogy mondjuk használsz 10-15 plugint, és egy arab/feka/kínai/orosz akinek nincs más dolga, csak az, hogy átnézze, melyik pluginban van olyan, hogy egy bejövő adatot nem szűrnek és esteleg a Wp ajax híváson keresztül futtathat kódot, MERT NEM SZŰRIK! hozhat létre admint stb. Ez ellen sok firewall plugin nem véd, ezért mentegesd az adatbázist időnként, mert jó ha van visszaállítási pontod.

Ezt pár éve annyira mélyen megtapasztaltam - mert segítettem az ilyen pluginok íróinak - hogy elkezdtem egy valós támadásokat kivédő/megelőző tűzfalat íni: https://github.com/szepeviktor/waf4wordpress azóta is hetente írok bele úgy szabályokat - némi erőfeszítés kell a használatához.

Azt honnan olvassák ki, hogy mi a login nevem? Mert nem admin :slight_smile:

Listából dolgoznak. Kis webes keresés után meg lehet találni, mik a népszerű felhasználónevek.

Vagy REST API-n kérhetik le: /wp-json/wp/v2/users

1 kedvelés

Ma nekem is jött egy ilyen e-mail:

25 hibás bejelentkezési kísérlet (5 kizárás) x.x.x.x IP-címről

Az utolsó helyes bejelentkezés admin felhasználónévvel.

Az IP-cím 24 óra időre kizárásra került.

De nálam sincs admin felhasználó, kell vele foglalkoznom?

Igen, végig nagybetűs IGEN.

Nem érdemes a biztonsággal egy valódi incidensig várni.

Akinek van rá erőforrása (idő/pénz/ember) annak ajánlom ezt a talajvízig lehatoló jegyzetet:


(ez nálam a napi rutin)

Annyira nem értek hozzá, így ez nekem nem sokat mond, de ma éjjel is jött egy hasonló e-mail.

Mi az amit tehetek ellene? Két bővítmény van felrakva, ami elvileg tiltja a sok téves bejelenkezés után az adott IP címet egy időre. (Limit Login Attempts Reloaded, Simple Login Lockdown)

Ha vannak erőforrásaid (ember/idő/pénz) akkor van lehetőség a tulajdonképpeni védekezésre.
Amúgy az a numero egyes védekezés, hogy naponta legyen teljes mentés egy idegen helyre.

Az Internet egy vad hely: nincs se rendőrség, se katonaság.

Azért azt halkan megjegyezném, hogy aki kicsit figyelt középiskolában matekórán amikor a kombinatorikáról volt szó, az tudhatja, hogy brute force támadással nem lehet jelszót feltörni.

Egy 10 karakter hosszú jelszó, ami tartalmaz kis- és nagybetűt, számot és speciális karaktert, annak egész pontosan 59873693923837890000 variációja van.

Szóval ha nem “123456” a jelszavad, akkor teljesen feleslegesek ezek a bővítmények.

1 kedvelés