Apa artinya ketika ada banyak permintaan POST ke /wp-login.php di log Apache?

15

Pesan diarahkan ke situs WordPress di server saya. Ini berasal dari access_log, dan saya tidak tahu apakah ini membuat saya khawatir atau tidak.

Ada lebih dari seratus baris pesan yang sama yang membentang lebih dari beberapa detik setiap kali. Jika Anda tidak tahu apa yang saya maksud, inilah lognya:

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

Saya hanya melakukan penghitungan untuk semua contoh untuk dua alamat IP ini, dan itu diakses setidaknya lebih dari 100.000 kali, sejak tanggal 22.

apache-http-server  logging  wordpress 
travis
sumber

Jawaban:

30

Seseorang mencoba dengan paksa memaksa halaman login Anda. Permintaan HTTP POST digunakan untuk data formulir HTML, yang dalam hal wp-login.phphalaman kemungkinan akan berupa formulir nama pengguna / kata sandi.

Khusus untuk WordPress, Anda harus membaca halaman wiki ini , yang menyebutkan sejumlah langkah berguna untuk mengambil dan melindungi instance Anda, seperti:

  • tidak menggunakan adminnama pengguna
  • memilih kata sandi yang kuat
  • menggunakan plugin untuk membatasi upaya login di tingkat WordPress, Apache atau server
  • htpasswd-melindungi halaman (dengan bantuan generator )

Bagaimanapun, pengaturan fail2banadalah sesuatu yang harus Anda pertimbangkan. Ini akan membatasi berapa kali IP tertentu mungkin mencoba masuk ke mesin Anda (misalnya melalui FTP, SSH, dll.).

slhck
sumber
Saya mencoba men-setup fail2ban tetapi kemudian membuatnya mustahil untuk mengakses server saya. Dapat menggunakan reboot yang aman, tetapi tidak dapat menghapusnya atau apa pun. Saya menelusuri masalah saya di Google, dan saya menemukan bahwa orang lain yang menggunakan Centos 7 mengalami masalah yang sama. Untungnya bagi saya, saya tidak punya apa-apa di server jadi saya hanya menginstal ulang OS yang memerlukan waktu beberapa menit.
Travis
2
Ah, sangat disayangkan. Saya belum punya masalah dengan itu di server CentOS saya. Biasanya itu seharusnya tidak terlalu mengganggu.
slhck
Hal lain yang patut dipertimbangkan adalah PeerGuardian.
paradroid
2
@ Travis Itu sesuatu yang diharapkan ketika Anda memiliki login SSH berdasarkan kata sandi .. Anda harus mempertimbangkan untuk menggunakan kunci SSH untuk otentikasi dan menonaktifkan login berdasarkan kata sandi SSH sepenuhnya, dan mungkin juga merupakan ide yang baik untuk mengubah port SSH default pada server Anda
Musim dingin
1
@glglgl Ini adalah pencegah. Ini menghentikan seseorang untuk pergi "Saya ingin tahu apakah ini tidak aman ..." - tidak akan menghentikan serangan yang diarahkan, tetapi akan menghentikan seorang hacker biasa. "Di tempat lain lebih mudah."
2

Sepertinya upaya brute force hacking untuk masuk ke konsol admin situs WordPress. Saya mendapatkan ini sepanjang waktu di situs WordPress saya. Jika Anda memiliki pengguna bernama admin dengan kata sandi 'pass', mereka pasti sudah masuk sekarang.

Instal plugin keamanan yang akan memblokir alamat IP setelah sejumlah upaya login. Saya menggunakan Wordfence .

paradroid
sumber
4
Alamat IP tersebut tampaknya berasal dari server CloudFlare CDN di San Francisco dan Jepang, yang agak aneh.
paradroid
Saya berharap itu berarti situs tersebut berada di belakang CloudFlare. Mungkin ada X-Forwarded-Fortajuk yang mod_rpafbisa digunakan seperti tajuk , tetapi tidak diatur untuk
ceejayoz
@ceejayoz Saya tidak yakin apa yang Anda maksud. Karena wp-login.phpini bukan file statis, toh itu tidak akan ada di CDN. Saya tidak mengerti mengapa koneksi yang masuk ini tampaknya berasal dari server CloudFlare CDN. Mungkin CloudFlare juga melakukan hosting server?
paradroid
Anda dapat (dan biasanya melakukan) mengarahkan seluruh domain Anda di CloudFlare. Itu berarti permintaan masuk - GET dan POST, dinamis atau statis - melalui CloudFlare terlebih dahulu, dan dengan demikian akan memiliki IP mereka.
ceejayoz
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.