Neue Angriffe auf WordPress

[vgwort line=“97″ server=“vg08″ openid=“d670aab0ea28484bb827bdfa2711ec39″]

Heute ist mir ein neuer Angriff auf meinen Blog aufgefallen. Ohne erkennbaren Grund stieg die Zahl der Zugriffe auf dieses Blog auf das Doppelte des üblichen.

Auffällig in der Webalizer-Statistik waren drei Rechner, die mit nur einem Visit jeweils über 6.000 Hits. Eine Auswertung des Log ergab, dass diese Zugriffe hauptsächlich als GET und POST über die Login-Seite erfolgen („/wp-login.php?redirect_to=http%3A%2F%2Fbyggvir.de%2Fwp-admin%2F&reauth=1“) erfolgen.

Die Einträge sehen zum Beispiel wie folgt aus:

67.222.154.122 – – [08/Apr/2013:08:38:57 +0200] „GET /wp-login.php?redirect_to=http%3A%2F%2Fbyggvir.de%2Fwp-admin%2F&reauth=1 HTTP/1.1“ 200 2956 „-“ „Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)“

Zwischen 6.000 und 7.000 Zugriffe folgen im Sekundentakt und nach wenigen Stunden ist der Spuk vorbei. Andere Seiten werden nicht angefragt. Die Angriffe gehen von drei IP-Adressen aus. Damit hilft mir die IP-Adresse beim Blockieren der Angriffe recht wenig, so dass ich diese Versuche in der .htaccess mit der folgenden Rewrite-Regel unterbinde.


RewriteCond %{REQUEST_FILENAME} /wp-admin/ [OR]
RewriteCond %{REQUEST_FILENAME} /wp-login.php\?redirect_to.*
RewriteCond %{HTTP_USER_AGENT} .*bingbot.*
RewriteRule ^(.*)$ http://localhost/ [R,L]

Ein wenig Dank schulde ich dem Angreifer allerdings, denn bei der genaueren Untersuchung der Log-Einträge stellte ich fest, dass es ein weiterer Rechner mit der IP-Adresse 146.0.79.23 schon seit vielen Monaten einige Zugriffsversuche pro Tag startet. Respekt, sehr geduldig der Kerl. Die Übertreibungen der Kollegen haben ihm jetzt die Suppe versalzen. Allerdings wird es Hier ein Beispiel aus der Log-Datei:

146.0.79.23 – – [09/Apr/2013:20:14:54 +0200] „POST /wp-login.php HTTP/1.1“ 200 3851 „-“ „Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 GTB5“

Zwar habe ich wenig sorgen, dass einer der Angreifer mein Password errät (ich kenne es selber nicht), aber ihnen einen zusätzlichen Riegel vor zu schieben, kann nicht schaden. Da ich nicht glaube jemals sinnvolle Zugriffe aus diesem Sub-Netz zu bekommen, blocke ich gleich das Subnetz in der Konfigurationsdatei.


<Directory "/srv/www/htdocs">
...
Order deny,allow

Deny from 146.0.79.0/24
...
</Directory>

Ärgerlich ist, dass diese Angriffe die Webalizer Statistiken versauen. Schön ist, dass die Angreifer sich über die Statistik verraten. Zwar könnte ich sie aus den Logs filtern, aber die Mühe sind die Statistiken nicht wert.

Ich wünsche eine gute Nacht!

2 Kommentare

Kommentare sind geschlossen.