服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在wordpresslogin页面连续发送POST请求 – 黑客入侵企图?
Intereting Posts
与CentOS 5.3 + openssh 4.3p2的chroot 在Windows 7终极上运行DHCP服务器 SAS vs SATA vs SSD:如何衡量SATA和SAS之间的性能差异? Server 2008静态路由(terminal服务)多个网关/路由器 Apache反向代理不断要求基本的身份validation凭据 没有选项来创build新的分区 – 为什么? centos cron日志不会执行 如何显示EC2实例汇总报告? 通过networking重置Windows密码 从dos实用程序固件更新程序创build可引导的PXE映像 我如何检查VMware工具是否在我的客户端Ubuntu服务器上运行? 灰熊服务器 – 与IP一起使用,但与域名无关 HyperV上的SLES guest:高CPU使用率与准确的时间保持 Samba服务器权限不起作用 glusterfs在群集服务器上启动时挂载 – RHEL 7

在wordpresslogin页面连续发送POST请求 – 黑客入侵企图?

从今天上午开始,我目睹了一系列连续的POST请求,在我的服务器上运行在wordpress软件上的一个博客上。

很less有关于这种模式的事情:

  1. 这些连续的请求每次持续2分钟
  2. 在这2分钟的时间内,4个POST请求在wp-login.php中每秒触发一次
  3. 然后,这些要求沉默,1小时后再次开始,再次持续2分钟,每秒4次请求。
  4. 每次IP地址是不同的
  5. 所有被追查的知识产权都属于中国
  6. 试图阻止IP地址,但很容易让他们逃避,因为每个小时他们用新的IP地址

我正在使用nginx,有没有什么方法可以阻止这种黑客攻击。 这是一个更大的问题,因为当这些请求来了几次,在同一台服务器上运行的其他网站会受到阻碍。 如果任何人都可以提供有关如何保护您的服务器免受这种尝试的任何指示,是最受欢迎的。

请从下面find日志摘录。 

xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:13 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:14 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:15 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)" xx.153.217.xxx - - [12/Jan/2015:13:45:16 +0530] "POST /wp-login.php HTTP/1.1" 200 3662 "http://blog.xxxxxx.in/wp-login.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)"

我处理这个问题的首选方式是阻止访问/wp-admin/文件夹和/wp-login.php中的任何内容,除了已知的静态IP,比如你的办公室的IP。 除此之外,看看fail2ban或任何数量的wordpress插件,可以减轻这些蛮力黑客攻击的企图。

是的,这可能是一系列妥协的服务器的尝试。

保持整个系统的更新,不要使用弱密码,并保留一系列的备份以防成功。

看起来像有人正试图打破你的系统。 现在有很多暴力强迫工具,像帮助做这种攻击的THC hydra brutus。 我个人build议是限制除特定IP以外的所有其他条目。 为此,您可以使用.htaccess
您也可以使用fail2Ban来提供额外的保护。 希望这可以帮助