หมายความว่าอย่างไรเมื่อมีคำขอ POST จำนวนมากไปยัง /wp-login.php ในบันทึก Apache

ข้อความถูกนำไปยังเว็บไซต์WordPressบนเซิร์ฟเวอร์ของฉัน สิ่งเหล่านี้มาจาก access_log และฉันไม่รู้ว่าควรจะกังวลหรือไม่

มีข้อความที่เหมือนกันมากกว่าร้อยบรรทัดที่ขยายออกไปในเวลาไม่กี่วินาทีในแต่ละครั้ง หากคุณไม่รู้ว่าฉันหมายถึงอะไรนี่คือบันทึก:

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

ฉันได้นับอินสแตนซ์ทั้งหมดสำหรับที่อยู่ IP ทั้งสองนี้และมีการเข้าถึงอย่างน้อยกว่า 100,000 ครั้งที่แตกต่างกันตั้งแต่วันที่ 22

apache-http-server logging wordpress

— เทรวิส
แหล่งที่มา

คำตอบ:

มีคนพยายามบังคับหน้าเข้าสู่ระบบของคุณ คำร้องขอ HTTP POST ใช้สำหรับข้อมูลฟอร์ม HTML ซึ่งในกรณีของwp-login.phpหน้าจะเป็นชื่อผู้ใช้ / รหัสผ่าน

สำหรับ WordPress โดยเฉพาะคุณควรอ่านหน้าวิกินี้ซึ่งกล่าวถึงขั้นตอนที่มีประโยชน์มากมายในการปกป้องอินสแตนซ์ของคุณเช่น:

ไม่ได้ใช้adminชื่อผู้ใช้
เลือกรหัสผ่านที่คาดเดายาก
ใช้ปลั๊กอินเพื่อ จำกัด การเข้าสู่ระบบที่ WordPress, Apache หรือระดับเซิร์ฟเวอร์
htpasswdการป้องกันหน้า (ด้วยความช่วยเหลือของเครื่องกำเนิดไฟฟ้า )

ไม่ว่าในกรณีใดการตั้งค่าfail2banเป็นสิ่งที่คุณควรพิจารณาอย่างแน่นอน มันจะ จำกัด จำนวนครั้งที่ IP ที่แน่นอนอาจพยายามเข้าสู่เครื่องของคุณ (เช่นผ่าน FTP, SSH, ฯลฯ )

— slhck
แหล่งที่มา

ฉันพยายามติดตั้ง fail2ban แต่มันทำให้ไม่สามารถเข้าถึงเซิร์ฟเวอร์ของฉันได้ สามารถใช้การรีบูตอย่างปลอดภัย แต่ไม่สามารถลบออกหรืออะไรก็ได้ ฉัน googled ปัญหาของฉันและฉันพบว่าคนอื่น ๆ ที่อยู่ใน Centos 7 กำลังมีปัญหาเดียวกัน โชคดีสำหรับฉันฉันไม่มีอะไรบนเซิร์ฟเวอร์ดังนั้นฉันเพิ่งติดตั้งระบบปฏิบัติการใหม่ซึ่งใช้เวลาไม่กี่นาที

— รวิส

อานั่นเป็นโชคร้าย ฉันไม่ได้มีปัญหากับมันบนเซิร์ฟเวอร์ CentOS ของฉัน ปกติแล้วมันไม่ควรยุ่งมาก

— slhck

สิ่งที่ควรพิจารณาอีกอย่างหนึ่งคือ PeerGuardian

— Paradroid

@travis ว่าสิ่งที่จะได้รับการคาดหวังว่าเมื่อคุณมีรหัสผ่านเข้าสู่ระบบตาม SSH .. คุณควรพิจารณาการใช้คีย์ SSH สำหรับการตรวจสอบและปิดการใช้งานรหัสผ่าน SSH ตามการเข้าสู่ระบบทั้งหมดและก็อาจจะยังเป็นความคิดที่ดีที่จะเปลี่ยนพอร์ต SSH เริ่มต้นบนเซิร์ฟเวอร์ของคุณ

— ฤดูหนาว

@glglgl มันเป็นเครื่องยับยั้ง มันหยุดใครบางคนจากการไป "ฉันสงสัยว่านี่ไม่ปลอดภัย ... " - จะไม่หยุดการโจมตีโดยตรง แต่จะหยุดแฮ็กเกอร์ธรรมดา "ที่อื่นก็ง่ายกว่า"

ดูเหมือนว่าการแฮ็คกำลังดุร้ายพยายามเข้าไปในคอนโซลผู้ดูแลระบบของไซต์ WordPress ฉันได้รับสิ่งเหล่านี้ตลอดเวลาบนเว็บไซต์ WordPress ของฉัน หากคุณมีผู้ใช้ชื่อ admin ด้วยรหัสผ่าน 'pass' พวกเขาก็จะได้รับในตอนนี้

ติดตั้งปลั๊กอินความปลอดภัยที่จะบล็อกที่อยู่ IP หลังจากพยายามล็อกอินหลายครั้ง ผมใช้Wordfence

— Paradroid
แหล่งที่มา

ที่อยู่ IP เหล่านั้นดูเหมือนจะมาจากเซิร์ฟเวอร์ CloudFlare CDN ในซานฟรานซิสโกและญี่ปุ่นซึ่งค่อนข้างแปลก

— Paradroid

ฉันคาดว่านั่นหมายความว่าเว็บไซต์อยู่หลัง CloudFlare อาจมีX-Forwarded-Forบางสิ่งที่ส่วนหัวอย่างที่mod_rpafสามารถใช้ได้ แต่ก็ไม่ได้ตั้งค่าไว้

— ceejayoz

@ceejayoz ฉันไม่แน่ใจว่าคุณหมายถึงอะไร เนื่องจากwp-login.phpไม่ใช่ไฟล์แบบคงที่ไฟล์จะไม่อยู่ใน CDN ฉันไม่เข้าใจว่าทำไมการเชื่อมต่อขาเข้าเหล่านี้ดูเหมือนจะมาจากเซิร์ฟเวอร์ CloudFlare CDN บางที CloudFlare ก็โฮสต์เซิร์ฟเวอร์ด้วยเช่นกัน?

— Paradroid

คุณสามารถ (และมักจะทำ) ชี้โดเมนทั้งหมดของคุณที่ CloudFlare นั่นหมายถึงคำขอที่ได้รับ - GET และ POST แบบไดนามิกหรือแบบคงที่ - ผ่าน CloudFlare ก่อนดังนั้นจึงจะมี IP ของพวกเขา

— ceejayoz