Cand am primit alertele pe e-mail, ca cineva incearca sa faca bruteforce pe blog, am fost luat putin prin surprindere, pentru ca nu mai primisem demult astfel de e-mailuri. Asta si datorita faptului ca zona de admin a blogului se poate accesa doar pe baza de IP si in white list erau doar 4 IP-uri, cel de acasa, cel de la munca, cel de la computerul Danei si o clasa extinsa de IP-uri din Grecia (extinsa cam cat toata Grecia, ca tare dinamic mai era IP-ul de la locatia in care am stat).
Primul lucru interesant a fost faptul ca atacurile au inceput imediat la cateva zeci de minute dupa ce am lasat un comentariu aici. Al doilea lucru interesant a fost faptul ca se incerca bruteforce pe userul „haotik”. De obicei pe internet sunt tot felul de roboti, care incearca sa faca bruteforce pe userul „admin”. Mai mult, pentru ei am limitat accesul pe baza de IP, pentru ca imi incarcau serverul cu sute de request-uri, pana cand acesta incepea sa se miste greu sau foarte greu.
Acum stau si ma gandesc daca ar trebui sa le consider simple coincidente sau sa ma gandesc ca invidia unora nu mai incape doar pe blogurile personale si da pe langa. Prefer sa fiu optimist si sa aleg sa cred ca sunt simple coincidente, mai ales ca nu stiu exact ce problema a avut John la blogul lui.
As mai avea cateva mici precizari legate de securitatea blogului meu:
- primesc e-mail automat dupa mai mult de 10 incercari nereusite de login cu IP-ul, userul pe care se incearca accesul si alte cateva date.
- dupa vreo 20-30 de incercari nereusite (nu mai stiu exact setarile), IP-ul respectiv se blocheaza automat.
- userul folosit nu este haotik, admin, dragos, dragoss sau ceva derivat din acestea (la autor apare autor Haotik pentru ca am setat in campul Name asta si am ales sa afiseze Name-ul, nu userul).
- am back-up-uri saptamanale deci, chiar daca ati reusit sa intrati, probabil ca damage-ul produs ar fi minim.
- dincolo de protectia bazata pe IP, exista inca o protectie bazata pe captcha.
- sunt paranoic, la un moment dat aveam atatea pluginuri de securitate, de nici eu nu mai stiam de unde vin alertele si de ce.
Apoi, daca te-am deranjat cu ceva vreodata, cred ca esti liber sa-mi spui pe blog intr-un comentariu sau in mod privat prin intermediul unui e-mail. Sunt sigur ca exista intotdeauna cai amiabile de a rezolva eventualele conflicte dintre noi.
E un atac automat, cel mai probabil. Sunt boti care cauta bloguri in continuu si incearca o baza de date cu parole.
Asa am zis si eu, desi a incercat cu userul corect (nu cu admin) oricum am schimbat si user si parola ca sa fiu si mai sigur ca nu intra nimeni. Exista posibilitatea sa fi incercat numele domeniului ca user si sa fie tot unu din robotii care fac asta random pe net. Desi pana acum incercau doar admin.
La ce firma tii blog-ul?
1and1
si webfactor a fost atacat
Eu foloseam intr-o vreme login lockdown si bloca ipurile dupa x incercari de logare pentru y minute/ore ani.
Acuma am ales sa blochez accesul la wp admin cu user si parola.
Cum spuneam, am de toate ca asa shade bine unui paranoic. 🙂
Eu zic sa stai „focused”, din ce ai povestit nu mi se pare ca e un mesaj automat, in schimb e stupid sa faci „brute force” (doar daca userul are 1234 parola), altfel o sa-i ia sute de ani sa sparga o parola. OK, daca ma intrebi pe mine, in ordine ca sa obtin access la blogul tau implica si un pic de „social engineering”. Scenariu: 1. fac un plugin misto pentru bloggeri, 2. fac un website misto pentru plugin (nu-l pun pe WP.org), 3. ma asigur ca tu o sa afli de plugin (third party – somehow). 4. Tu instalezi pluginul. 5. Printre sutele de linii de cod pe care nu o sa le analizezi – surpriza – pluginul ruleaza niste rutine care inspecteaza silent tot ce ai pe serverul tau si trimite catre un server al meu … de aici pot sa vina alte solutiii referitor la ce o sa fac cu blogul, respectiv tot ce ai pe server 🙂
Solutia ta e al naibi de complicata si nesigura. Mai bine cauti niste exploituri pentru Plesk/cPanel sau Centos 🙂
da, sunt 50% sanse sa instalezi pluginul, acum ca a venit vorba de WP security tocmai mi-am dat seama ca e posibil sa injectezi „bad” code in toate pluginurile pe care le ai + tema + DB, teoretic e posibil sa infestezi tot installul de WP, fara sa mai ai posibilitatea sa scapi de „virus” (chiar daca stergi pluginul initial), singura posibilitate e sa pierzi totul si sa faci un clean install 🙂 . Damn, ma intreb cum de este WP safe acum.
@icrisu: Cred ca prin back-up ala al lui saptamanal are si fisierele wordpress nu doar baza de date.
@Haotik: Back-up saptamanal? Deci eu daca fac back-up odata la 30 de minute la baza de date clar sunt mult mai paranoic ca tine :))
La fisiere am vreo 3 back-uri nu unul singur. Am obiceiul sa lucrez la site pe local si sa il urc pe ftp asa ca intotdeauna fisierele „master” se afla atat intr-un back-up cat si in directorul de proiecte.
Back-up la fisiere il fac doar pentru simplu fapt ca in Proiecte nu am intoteauna pozele pe care le uploadez din wordpress in articole.
Ajunge saptamanal, am avut back-up si de o luna si am sters tot din greseala si tot am recuperat articolele pe 30 de zile (desi a fost o munca imensa intradevar).
Am un script pe server care face back-up-ul, as putea sa ii arunc un cron sa faca la 24 de ore back-up-ul la fisiere dar nu stiu daca merita osteneala. Mai trebuie sa lucrez la scriptul ala sa faca si alte chestii mai avansate.
Si al meu blog a fost atacat duminica seara si chiar ca nu stiu sa fi suparat pe careva si nici „meleoane” de unici nu am …
@D-Petre: se pare ca e un „atac” general asupra wp-login.php, dupa cum spun cei de la WebFactor. Pana acum Login LockDown face treaba buna, le-am setat la „baieti” Lockout Length 3.600 min si astept 🙂
Folosește Google Authenticator și scapi de astfel de probleme.
Uite aici ce și cum: http://www.ptm.ro/google-authenticator-securizezi-eficient-conturile/
Il folosesc de multa vreme, dar nu stiam ca merge pus si la wordpress. Ma intreb ce fac cu siteurile unde am colaboratori care trebuie sa acceseze si ei siteul si ma mai intreb daca mai e necesara inca o masura de protectie pe langa cele deja existente.
Se poate activa/dezactiva pentru fiecare utilizator în parte.
probabil s-a infiltrat din cauza host-ului…