Що це означає, коли в журналах Apache існує багато запитів POST до /wp-login.php?

Повідомлення спрямовані на сайт WordPress на моєму сервері. Вони надходять із доступу_log, і я не знаю, чи це мене турбує чи ні.

Щороку є понад сто рядків одного і того ж повідомлення, що охоплює кілька секунд. Якщо ви не знаєте, що я маю на увазі, ось журнали:

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

Я щойно зробив підрахунок для всіх примірників цих двох IP-адрес, і до нього було доступно щонайменше понад 100 000 різних разів, починаючи з 22-го.

apache-http-server logging wordpress

— травіс
джерело

Відповіді:

Хтось намагається жорстоко змусити вашу сторінку входу. HTTP POST-запити використовуються для даних HTML-форми, що у випадку wp-login.phpсторінки, ймовірно, буде формою ім’я користувача / пароля.

Спеціально для WordPress слід прочитати цю вікі-сторінку , в якій згадується ряд корисних кроків для вживання та захисту вашого примірника, таких як:

не використовуючи adminім'я користувача
вибір надійного пароля
використання плагінів для обмеження спроб входу на рівні WordPress, Apache або сервера
htpasswd-захист сторінки (за допомогою генератора )

У будь-якому випадку, налаштування - fail2banце те, що ви обов'язково повинні врахувати. Це обмежить кількість разів, коли певний IP може спробувати увійти у вашу машину (наприклад, через FTP, SSH тощо).

— слхк
джерело

Я спробував налаштувати fail2ban, але потім унеможливив доступ до мого сервера. Вміла використовувати безпечну перезавантаження, але не змогла її видалити чи нічого. Я переглянув свою проблему і виявив, що інші, хто був на Centos 7, мали таку ж проблему. На щастя для мене, у мене нічого не було на сервері, тому я просто перевстановив ОС, яка зайняла кілька хвилин.

— travis

Ах, це прикро. У мене не було проблем з цим на моєму сервері CentOS. Зазвичай це не повинно так сильно заважати.

— slhck

Інша річ, про яку варто звернути увагу - PeerGuardian.

— парадороїд

@travis Цього можна очікувати, коли у вас вхідні SSH входи. Вам слід розглянути можливість використання ключів SSH для автентифікації та відключення входу на основі пароля SSH повністю, і, ймовірно, також буде хорошою ідеєю змінити стандартний порт SSH на вашому сервері

— Зима

@glglgl Це стримуючий характер. Хтось не заважає йти "Цікаво, чи це небезпечно ..." - не зупинить спрямовану атаку, але зупинить випадкового хакера. "Десь інше простіше".

Це схоже на грубі сили хакерських спроб потрапити в адміністративну консоль сайту WordPress. Я отримую їх постійно на своїх сайтах WordPress. Якби у вас був користувач з назвою адміністратор з паролем "pass", він би вже напевно вже ввійшов.

Встановіть плагін безпеки, який блокує IP-адреси після певної кількості спроб входу. Я використовую Wordfence .

— парадироїд
джерело

Ці IP-адреси, здається, надходять із CloudFlare CDN-серверів у Сан-Франциско та Японії, що трохи дивно.

— парадороїд

Я б очікував, що це означає, що сайт стоїть за CloudFlare. Напевно, може бути використаний X-Forwarded-Forзаголовок, який-небудь на кшталт mod_rpaf, але він не встановлений

— ceejayoz

@ceejayoz Я не впевнений, що ти маєш на увазі. Оскільки wp-login.phpце не статичний файл, він все одно не буде на CDN. Я не розумію, чому, здається, ці вхідні з'єднання надходять із серверів CloudFlare CDN. Можливо, CloudFlare також робить хостинг сервера?

— парадороїд

Ви можете (і зазвичай це робити) весь ваш домен в CloudFlare. Це означає, що вхідні запити - GET і POST, динамічні або статичні - спочатку проходять через CloudFlare, і таким чином вони матимуть свої IP-адреси.

— ceejayoz