Apache günlüklerinde /wp-login.php dosyasına birçok POST isteği olduğunda bu ne anlama gelir?

15

İletiler sunucumdaki WordPress sitesine yönlendiriliyor . Bunlar access_log'dan geliyor ve bunun beni endişelendirmesi gerekip gerekmediğini bilmiyorum.

Her seferinde birkaç saniyeye yayılan aynı mesajın yüzün üzerinde satırı vardır. Ne demek istediğimi bilmiyorsanız, günlükler şunlardır:

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

Bu iki IP adresi için tüm örnekler için bir sayım yaptım ve 22'den beri en az 100.000 farklı süreye erişildi.

apache-http-server  logging  wordpress 
travis
kaynak

Yanıtlar:

30

Birisi giriş sayfanızı kaba zorlamaya çalışıyor. HTTP POST istekleri, HTML form verileri için kullanılır; bu, bir wp-login.phpsayfa olması durumunda kullanıcı adı / şifre formu olacaktır.

Özellikle WordPress için, örneğinizi almak ve korumak için bir dizi yararlı adımdan bahseden bu wiki sayfasını okumalısınız , örneğin:

  • adminkullanıcı adını kullanmamak
  • güçlü bir şifre seçmek
  • WordPress, Apache veya sunucu düzeyinde giriş denemelerini kısıtlamak için eklentiler kullanma
  • htpasswd-sayfanın korunması (bir jeneratör yardımıyla )

Her durumda, kurulum fail2bankesinlikle dikkate almanız gereken bir şeydir. Belirli bir IP'nin makinenizde kaç kez oturum açmaya çalışacağını kısıtlar (örneğin, FTP, SSH vb. Üzerinden).

slhck
kaynak
Fail2ban kurmaya çalıştım, ancak daha sonra sunucuma erişmeyi imkansız hale getirdi. Güvenli yeniden başlatmayı kullanabildi, ancak kaldıramadı ya da başka bir şey. Sorunumu araştırdım ve Centos 7'deki diğer kişilerin de aynı sorunu yaşadığını gördüm. Neyse ki benim için sunucuda hiçbir şey yoktu, bu yüzden sadece birkaç dakika süren işletim sistemini yeniden yükledim.
travis
2
Ah, bu talihsiz. CentOS sunucumda bununla ilgili herhangi bir sorun yaşamadım. Normalde çok fazla müdahale etmemelidir.
slhck
Dikkate değer başka bir şey de PeerGuardian.
paradroid
2
@travis Bu, parola tabanlı SSH oturum açma bilgileriniz olduğunda beklenilen bir şeydir. Kimlik doğrulaması için SSH anahtarlarını kullanmayı ve SSH parola tabanlı oturum açmayı tamamen devre dışı bırakmayı düşünmelisiniz ve muhtemelen sunucunuzdaki varsayılan SSH bağlantı noktasını değiştirmek de iyi bir fikirdir
Kış
1
@glglgl Bu bir caydırıcıdır. Birisinin "Bunun güvensiz olup olmadığını merak ediyorum ..." - bir saldırıyı durdurmaz, ama sıradan bir hacker'ı durdurur. "Başka bir yerde daha kolay."
2

WordPress sitesinin yönetici konsoluna girmek için kaba kuvvet hack girişimleri gibi görünüyor. Bunları her zaman WordPress sitelerimden alıyorum. 'Pass' şifresi ile admin adında bir kullanıcınız olsaydı, şimdiye kadar kesinlikle girmiş olacaklardı.

Belirli sayıda oturum açma denemesinden sonra IP adreslerini engelleyecek bir güvenlik eklentisi yükleyin. Kullandığım Wordfence .

Paradroid
kaynak
4
Bu IP adresleri San Francisco ve Japonya'daki CloudFlare CDN sunucularından geliyor gibi görünüyor, bu biraz garip.
paradroid
Bu sitenin CloudFlare arkasında olduğu anlamına gelir. Muhtemelen kullanabileceği bir X-Forwarded-Forbaşlık var mod_rpaf, ancak ayarlanmadı
ceejayoz
@ceejayoz Ne demek istediğinden emin değilim. Gibi wp-login.phpstatik bir dosya değil, zaten CDN üzerinde olmayacaktır. Bu gelen bağlantıların neden CloudFlare CDN sunucularından geldiğini anlamıyorum. Belki CloudFlare sunucu barındırma da yapar?
paradroid
Tüm alan adınızı CloudFlare'de işaretleyebilirsiniz (ve genellikle de yapabilirsiniz). Bu, gelen isteklerin (GET ve POST, dinamik veya statik) önce CloudFlare'den geçtiği ve dolayısıyla IP'lerinin olacağı anlamına gelir.
ceejayoz
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.