在日志里目睹了一场黑吃黑的密码爆破攻击
起因
监控给我推了一条安全提醒,有一个IP在24小时内,访问网站超过1000次。
然后我就去看了一眼日志,于是在日志里目睹了一场黑吃黑的密码爆破攻击
经过
一个香港IP,在1小时内尝试登录了5000多次同一个用户名。
User Agent是空的,Referrer也是空的。
只能感叹这个脚本可真是毫无伪装,这个UA,这个Referrer,这个尝试频率。
稍微有点防范的站点都会被防御了吧。
毫无意外,他第一次尝试时被防御脚本发现异常,IP就被禁止登录了。
剩下的5000多次尝试都是徒劳。
被爆破用户名与密码属于WP博客的常态。
基本每天都有少则几十次,多则几百次的登录尝试。
现在也少有单IP爆破的了,大部分尝试爆破的都会将登录分散在多个IP上,
拉大每个IP的间隔试图避免被发现。
如此简单粗暴的爆破在现在真的太少见了。
虽然他少见但还是不值得我专门为此写下这篇东西。
真正让我感兴趣的是他登录的用户名:wadminw
2022年开始出现的一种名为《WordPress Pharma Hack(WP药品黑客)》的恶意SEO攻击。
攻击者通过各种方式在WP内添加额外的管理员账户后,会将网站重定向到垃圾广告页面,在这些页面显示销售伟哥等壮阳药药品的广告。(有时也可能会显示其他种类的药品比如玛卡粉,牡蛎粉等类似的壮阳药,基本都是类似的东西)当然,卖伟哥是最常见的。
而wadminw
/wadmin
/smngrs***
/itsme
是最常见的被添加的管理员账号。
现在这个攻击的明显是在捡之前黑客已经黑进去过的WP站点的残骸吃。
结果
随着我翻日志,复盘这一个月的登录失败记录
嗯,上边这4个(种)用户名,基本每天都在被尝试登录中。
并且还发现了一个好玩的事情
这里面随着IP区域的不同,攻击风格也有各自的特色。
-
香港家宽:每次大量尝试前会有一个同IP段或相近IP段的扫描,来确定这个域名下有WP,并找到登录入口,然后就是一个IP粗暴的暴力开炸,直接把
wadminw
加全部的6000多组密码全试一遍后。隔1~2天后再来一次。 -
郑州:每次都尝试最常见的200多组密码和用户名组合,每天都来,全都为家宽的IP。看起来应该是群晖或者黑裙NAS被入侵后挂马的自动化攻击。
-
香港Ucloud:每个IP攻击大约2000次,然后换同段(/24或者/16)的IP继续,大概2周换一个IP段。搞到现在香港ucloud的IP段都快被我屏蔽完了。
-
荷兰:一个机房的IP/24段,尝试的用户名为
smngrs***
(*为随机数字)直接把攻击搞出到CC攻击的频率。
一些废话
- 为什么不隐藏登录页:
- 会破坏WP的插件和主题完整性。
- 隐藏登录页其实对安全的作用不太大,心理作用大于实际作用。除了登录页,还有插件,主题,XML-RPC一堆地方可以利用。与其隐藏登录页不如把登录页放在那里当靶子。
- 密码怎么设置才安全:
- 一言蔽之,尽可能长的无可读含义的含有大小写字母数字符号的随机字符串。如果你的密码有可以被简化记忆的规律,自然也就有了可以被简化破解的规律。比如很多常见的所谓的密码设置秘籍,在密码中使用古诗,使用当前网站名的一部分,将字符做相似替换,将密码倒叙输入。你当搞密码爆破的人会不知道这种“小技巧”吗?
ADDED
2024-03-19 22:50
我的网站近些天被wadminw攻击了,通过修改我的jquery js文件,导致访问网站自动被重定向到sq网站。通过将jquery文件替换,更改后台登陆地址,使用强密码,手动新增了一个wadminw用户并使用强密码,暂时解决问题,不知道这个hacker还会不会有后续
去年夏天
2024-03-20 09:32
我是用了防火墙,只要用户名参数传入的是特定用户名,直接封IP。