Qu'est-ce que cela signifie quand il y a beaucoup de requêtes POST à ​​/wp-login.php dans les journaux Apache?

15

Les messages sont dirigés vers le site WordPress sur mon serveur. Celles-ci proviennent du fichier access_log, et je ne sais pas si cela devrait m'inquiéter ou non.

Il y a bien plus d'une centaine de lignes du même message s'étalant sur quelques secondes à chaque fois. Si vous ne savez pas ce que je veux dire, voici les journaux:

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

Je viens de faire un décompte pour toutes les instances pour ces deux adresses IP, et il a été consulté au moins plus de 100 000 fois différentes, depuis le 22.

apache-http-server  logging  wordpress 
travis
source

Réponses:

30

Quelqu'un essaie de forcer brutalement votre page de connexion. Les requêtes HTTP POST sont utilisées pour les données de formulaire HTML, qui dans le cas d'une wp-login.phppage sera probablement le formulaire nom d'utilisateur / mot de passe.

Pour WordPress en particulier, vous devriez lire cette page wiki , qui mentionne un certain nombre d'étapes utiles pour prendre et protéger votre instance, telles que:

  • ne pas utiliser le adminnom d'utilisateur
  • choisir un mot de passe fort
  • utiliser des plugins pour limiter les tentatives de connexion au niveau de WordPress, Apache ou du serveur
  • htpasswd-protection de la page (à l'aide d'un générateur )

Dans tous les cas, la configuration fail2banest quelque chose que vous devez absolument considérer. Cela limitera le nombre de fois qu'une certaine IP peut essayer de se connecter à votre machine (par exemple via FTP, SSH, etc.).

slhck
source
J'ai tenté de configurer fail2ban mais cela a rendu impossible l'accès à mon serveur. A pu utiliser un redémarrage sûr, mais n'a pas pu le supprimer ou quoi que ce soit. J'ai recherché mon problème sur Google et j'ai constaté que d'autres personnes sur Centos 7 avaient le même problème. Heureusement pour moi, je n'avais rien sur le serveur donc j'ai juste réinstallé l'OS qui a pris quelques minutes.
travis
2
Ah, c'est dommage. Je n'ai eu aucun problème avec celui-ci sur mon serveur CentOS. Normalement, cela ne devrait pas trop interférer.
slhck
Une autre chose à considérer est PeerGuardian.
paradroid
2
@travis C'est quelque chose à attendre lorsque vous avez des connexions SSH à base de mot de passe .. Vous devriez envisager d' utiliser des clés SSH pour l' authentification et la désactivation du mot de passe SSH basé connexion entièrement, et il est sans doute aussi une bonne idée de changer le port SSH par défaut sur votre serveur
Hiver
1
@glglgl C'est un moyen de dissuasion. Cela empêche quelqu'un d'aller "Je me demande si ce n'est pas sûr ..." - n'arrêtera pas une attaque dirigée, mais arrêtera un pirate occasionnel. "Quelque part ailleurs est plus facile."
2

Cela ressemble à des tentatives de piratage par force brute pour accéder à la console d'administration du site WordPress. Je les reçois tout le temps sur mes sites WordPress. Si vous aviez un utilisateur appelé admin avec le mot de passe «pass», il serait certainement entré maintenant.

Installez un plugin de sécurité qui bloquera les adresses IP après un certain nombre de tentatives de connexion. J'utilise Wordfence .

paradroid
source
4
Ces adresses IP semblent provenir de serveurs CloudFlare CDN à San Francisco et au Japon, ce qui est un peu bizarre.
paradroid
Je suppose que cela signifie que le site est derrière CloudFlare. Il y a probablement un en- X-Forwarded-Fortête que quelque chose comme mod_rpafpourrait utiliser, mais il n'est pas configuré pour
ceejayoz
@ceejayoz Je ne sais pas trop ce que tu veux dire. Comme il wp-login.phpne s'agit pas d'un fichier statique, il ne sera de toute façon pas sur le CDN. Je ne comprends pas pourquoi ces connexions entrantes semblent provenir de serveurs CloudFlare CDN. Peut-être que CloudFlare propose également l'hébergement de serveurs?
paradroid
Vous pouvez (et faites généralement) pointer l'ensemble de votre domaine vers CloudFlare. Cela signifie que les demandes entrantes - GET et POST, dynamiques ou statiques - passent d'abord par CloudFlare et auraient donc leurs adresses IP.
ceejayoz
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.