在日志里目睹了一场黑吃黑的密码爆破攻击

起因

监控给我推了一条安全提醒，有一个IP在24小时内，访问网站超过1000次。
然后我就去看了一眼日志，于是在日志里目睹了一场黑吃黑的密码爆破攻击

经过

一个香港IP，在1小时内尝试登录了5000多次同一个用户名。
User Agent是空的，Referrer也是空的。
只能感叹这个脚本可真是毫无伪装，这个UA，这个Referrer，这个尝试频率。
稍微有点防范的站点都会被防御了吧。

毫无意外，他第一次尝试时被防御脚本发现异常，IP就被禁止登录了。
剩下的5000多次尝试都是徒劳。

被爆破用户名与密码属于WP博客的常态。
基本每天都有少则几十次，多则几百次的登录尝试。
现在也少有单IP爆破的了，大部分尝试爆破的都会将登录分散在多个IP上，
拉大每个IP的间隔试图避免被发现。
如此简单粗暴的爆破在现在真的太少见了。
虽然他少见但还是不值得我专门为此写下这篇东西。

真正让我感兴趣的是他登录的用户名:wadminw
2022年开始出现的一种名为《WordPress Pharma Hack（WP药品黑客）》的恶意SEO攻击。
攻击者通过各种方式在WP内添加额外的管理员账户后，会将网站重定向到垃圾广告页面，在这些页面显示销售伟哥等壮阳药药品的广告。（有时也可能会显示其他种类的药品比如玛卡粉，牡蛎粉等类似的壮阳药，基本都是类似的东西）当然，卖伟哥是最常见的。
而wadminw/wadmin/smngrs***/itsme是最常见的被添加的管理员账号。
现在这个攻击的明显是在捡之前黑客已经黑进去过的WP站点的残骸吃。

结果

随着我翻日志，复盘这一个月的登录失败记录
嗯，上边这4个（种）用户名，基本每天都在被尝试登录中。
并且还发现了一个好玩的事情
这里面随着IP区域的不同，攻击风格也有各自的特色。

• 香港家宽：每次大量尝试前会有一个同IP段或相近IP段的扫描，来确定这个域名下有WP，并找到登录入口，然后就是一个IP粗暴的暴力开炸，直接把 wadminw 加全部的6000多组密码全试一遍后。隔1~2天后再来一次。

• 郑州：每次都尝试最常见的200多组密码和用户名组合，每天都来，全都为家宽的IP。看起来应该是群晖或者黑裙NAS被入侵后挂马的自动化攻击。

• 香港Ucloud：每个IP攻击大约2000次，然后换同段（/24或者/16）的IP继续，大概2周换一个IP段。搞到现在香港ucloud的IP段都快被我屏蔽完了。

• 荷兰：一个机房的IP/24段，尝试的用户名为 smngrs*** (*为随机数字)直接把攻击搞出到CC攻击的频率。

一些废话

• 为什么不隐藏登录页：
  1. 会破坏WP的插件和主题完整性。
  2. 隐藏登录页其实对安全的作用不太大，心理作用大于实际作用。除了登录页，还有插件，主题，XML-RPC一堆地方可以利用。与其隐藏登录页不如把登录页放在那里当靶子。
• 密码怎么设置才安全：
  1. 一言蔽之，尽可能长的无可读含义的含有大小写字母数字符号的随机字符串。如果你的密码有可以被简化记忆的规律，自然也就有了可以被简化破解的规律。比如很多常见的所谓的密码设置秘籍，在密码中使用古诗，使用当前网站名的一部分，将字符做相似替换，将密码倒叙输入。你当搞密码爆破的人会不知道这种“小技巧”吗？