在日志里目睹了一场黑吃黑的密码爆破攻击

浏览: 465 次浏览 作者: 去年夏天 分类: Ubuntu,技术文章,碎碎谈 发布时间: 2023-08-17 21:40

起因

监控给我推了一条安全提醒,有一个IP在24小时内,访问网站超过1000次。
然后我就去看了一眼日志,于是在日志里目睹了一场黑吃黑的密码爆破攻击

经过

一个香港IP,在1小时内尝试登录了5000多次同一个用户名。
User Agent是空的,Referrer也是空的。
只能感叹这个脚本可真是毫无伪装,这个UA,这个Referrer,这个尝试频率。
稍微有点防范的站点都会被防御了吧。

毫无意外,他第一次尝试时被防御脚本发现异常,IP就被禁止登录了。
剩下的5000多次尝试都是徒劳。

被爆破用户名与密码属于WP博客的常态。
基本每天都有少则几十次,多则几百次的登录尝试。
现在也少有单IP爆破的了,大部分尝试爆破的都会将登录分散在多个IP上,
拉大每个IP的间隔试图避免被发现。
如此简单粗暴的爆破在现在真的太少见了。
虽然他少见但还是不值得我专门为此写下这篇东西。

真正让我感兴趣的是他登录的用户名:wadminw
2022年开始出现的一种名为《WordPress Pharma Hack(WP药品黑客)》的恶意SEO攻击。
攻击者通过各种方式在WP内添加额外的管理员账户后,会将网站重定向到垃圾广告页面,在这些页面显示销售伟哥等壮阳药药品的广告。(有时也可能会显示其他种类的药品比如玛卡粉,牡蛎粉等类似的壮阳药,基本都是类似的东西)当然,卖伟哥是最常见的。
wadminw/wadmin/smngrs***/itsme是最常见的被添加的管理员账号。
现在这个攻击的明显是在捡之前黑客已经黑进去过的WP站点的残骸吃。

结果

随着我翻日志,复盘这一个月的登录失败记录
嗯,上边这4个(种)用户名,基本每天都在被尝试登录中。
并且还发现了一个好玩的事情
这里面随着IP区域的不同,攻击风格也有各自的特色。

  • 香港家宽:每次大量尝试前会有一个同IP段或相近IP段的扫描,来确定这个域名下有WP,并找到登录入口,然后就是一个IP粗暴的暴力开炸,直接把 wadminw 加全部的6000多组密码全试一遍后。隔1~2天后再来一次。

  • 郑州:每次都尝试最常见的200多组密码和用户名组合,每天都来,全都为家宽的IP。看起来应该是群晖或者黑裙NAS被入侵后挂马的自动化攻击。

  • 香港Ucloud:每个IP攻击大约2000次,然后换同段(/24或者/16)的IP继续,大概2周换一个IP段。搞到现在香港ucloud的IP段都快被我屏蔽完了。

  • 荷兰:一个机房的IP/24段,尝试的用户名为 smngrs*** (*为随机数字)直接把攻击搞出到CC攻击的频率。

一些废话

  • 为什么不隐藏登录页:
    1. 会破坏WP的插件和主题完整性。
    2. 隐藏登录页其实对安全的作用不太大,心理作用大于实际作用。除了登录页,还有插件,主题,XML-RPC一堆地方可以利用。与其隐藏登录页不如把登录页放在那里当靶子。
  • 密码怎么设置才安全:
    1. 一言蔽之,尽可能长的无可读含义的含有大小写字母数字符号的随机字符串。如果你的密码有可以被简化记忆的规律,自然也就有了可以被简化破解的规律。比如很多常见的所谓的密码设置秘籍,在密码中使用古诗,使用当前网站名的一部分,将字符做相似替换,将密码倒叙输入。你当搞密码爆破的人会不知道这种“小技巧”吗?

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据