えびサブレ

変なオタクの備忘録

パソコン

WordPressへの総当たり攻撃

投稿日:2015-10-29 更新日:

先日、ブログの編集画面へのアクセスをLAN内に限定するという記事を書きましたが、翌朝にログイン画面への総当たり攻撃がありました。しかもLAN外からでした。前回の記事はなんだったのでしょうか。

結論からいえば、認証が成功したとしても管理画面にアクセスすることはできないので(たぶん)安全です。wp-adminにはIP制限を付けましたが、ログイン画面にIP制限を付けていなかったので、”ログインはできるが、管理画面にアクセスすることはできない”という状態です。本当はログイン画面にもIP規制を付けるべきです(‘A`)

このわかりやすい図にある通り、ログイン画面より1段階先にIP規制がついている状態です。
login
危ないハニーポッドみたいな状態ですね。ログインされて僕のアカウントでスパムコメントを書かれてもアレだし、攻撃されるとリソースの無駄遣いになるので、さっさと直しておきます。


追記(2015-11-08)
IISマネージャから、login.phpがあるディレクトリを右クリック→コンテンツビュー→login.phpを右クリック→機能ビュー→IP制限をかける

オランダIPのスーパーハカーくん

27日の早朝から、僕の代わりにサーバの負荷試験をしてくれました。ご苦労な事です。
相手はオランダのアムステルダムあたりのIPアドレスで、WordPressのlogin.phpに総当たりをするbotみたいです。

Ubuntu9.04+Firefox3.0.15という古い組み合わせなので、乗っ取られて踏み台にされているのではないかと思います。

それでは、ログを見てみましょう。

WordPress総当たりbot

一部省略しています。
SERVER = 自分のIPアドレス
CLIENT = 相手のIPアドレス
ENV = 相手のOSやブラウザに関する情報
※ログはGMTで記録されているため、9時間遅れです
atk1
webサーバの応答に1.5秒ほどかかっているので、ダメだったらすぐに次のリクエストを送信している感じです。
“?author=X”でユーザ名を取得できなかった場合の挙動が気になります。そのまま諦めるのでしょうか?

正しいパスワードを入力された場合は?

自分で試してみました。
LAN外から正しい認証情報を入力し、/wp-admin/index.phpにアクセスすると、403が返されます。IPフィルターはちゃんと機能しているようです。
atk2


パスワードを当てられた場合、wp-adminにはアクセスできなくても、ログインされた状態になります。もしかしたら変なことができるかもしれません。(WordPressに詳しくないので、教えてエロい人) login.phpにアクセスさせないようにしたほうがより安全です。

-パソコン
-,

執筆者:


comment

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

OpenConnect VPN serverの構築

SSTPがWindowsでしか使えないことにイラついたので乗り換えました

お買い物レポート: PowerEdge R620

勢いだけで買いました。
反省はしています。

MinecraftサーバのRAMディスク化(Windows)

身内で遊んでいるMinecraftのサーバが重いのでRAMに入れました。簡単すぎるためか解説記事が見当たらないので書いておきます。

当ブログをコンテナ化しました

Windows Server上のIISで動いていたのをDockerに移行しました。応答時間がちょっと短くなりました。

WordPress管理画面のセキュア化

RDP over HTTPSを利用して、ブログの管理画面へのアクセスを安全にします。

webmaster

icon
webmaster: えびーむ

Google アナリティクスの統計

アーカイブ

最近のコメント