जब अपाचे लॉग में /wp-login.php करने के लिए कई पोस्ट अनुरोध हैं तो इसका क्या मतलब है?

15

संदेश मेरे सर्वर पर वर्डप्रेस साइट की ओर निर्देशित हैं । ये access_log से आ रहे हैं, और मुझे नहीं पता कि यह मुझे चिंतित करना चाहिए या नहीं।

हर बार कुछ सेकंड में एक ही संदेश की सौ से अधिक पंक्तियाँ अच्छी तरह से दिखाई देती हैं। यदि आपको नहीं पता कि मेरा क्या मतलब है, तो यहां लॉग हैं:

108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:49 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:50 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:51 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:52 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:53 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
103.22.200.207 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"
108.162.216.73 - - [22/Oct/2014:21:54:54 -0400] "POST /wp-login.php HTTP/1.1" 200 3467 "-" "-"

मैंने सिर्फ इन दो आईपी पतों के लिए सभी उदाहरणों के लिए एक गिनती की थी, और इसे 22 वें के बाद से कम से कम 100,000 से अधिक अलग-अलग समय तक एक्सेस किया गया था।

apache-http-server  logging  wordpress 
ट्रैविस
स्रोत

जवाबों:

30

कोई व्यक्ति आपके लॉगिन पृष्ठ को ब्रूट-फोर्स करने की कोशिश कर रहा है। HTTP POST अनुरोधों का उपयोग HTML फॉर्म डेटा के लिए किया जाता है, जो एक wp-login.phpपृष्ठ के मामले में संभवतः उपयोगकर्ता नाम / पासवर्ड फॉर्म होगा।

वर्डप्रेस के लिए विशेष रूप से, आपको इस विकी पेज को पढ़ना चाहिए , जिसमें आपके उदाहरण को लेने और सुरक्षित रखने के लिए कई उपयोगी चरणों का उल्लेख है, जैसे:

  • adminउपयोगकर्ता नाम का उपयोग नहीं
  • एक मजबूत पासवर्ड चुनना
  • WordPress, Apache या सर्वर स्तर पर लॉगिन प्रयासों को प्रतिबंधित करने के लिए प्लगइन्स का उपयोग करना
  • htpasswdपृष्ठ की जांच करना ( जनरेटर की सहायता से )

किसी भी मामले में, सेटिंग fail2banकुछ ऐसी है जिस पर आपको निश्चित रूप से विचार करना चाहिए। यह उस समय की संख्या को सीमित कर देगा जब एक निश्चित आईपी आपकी मशीन में प्रवेश करने की कोशिश कर सकता है (उदाहरण के लिए एफ़टीपी, एसएसएच, आदि)।

slhck
स्रोत
मैंने असफल 2 चैनल सेटअप करने का प्रयास किया, लेकिन इसके बाद मेरे सर्वर तक पहुंचना असंभव हो गया। सुरक्षित रीबूट का उपयोग करने में सक्षम था, लेकिन इसे या कुछ भी निकालने में सक्षम नहीं था। मैंने अपने मुद्दे को भुनाया, और मैंने पाया कि सेंटोस 7 पर जो अन्य थे, वही समस्या थी। मेरे लिए सौभाग्य से, मेरे पास सर्वर पर कुछ भी नहीं था इसलिए मैंने बस ओएस को पुनर्स्थापित किया जो कुछ मिनट लगा।
ट्रैविस
2
आह, यह दुर्भाग्यपूर्ण है। मेरे पास अपने CentOS सर्वर पर इसके साथ कोई समस्या नहीं है। आम तौर पर इसे इतना हस्तक्षेप नहीं करना चाहिए।
19
एक और बात पर विचार करने लायक है PeerGuardian।
पैराडायराइड
2
@travis जब आपको पासवर्ड आधारित SSH लॉगइन होने की उम्मीद होती है, तो आपको प्रमाणीकरण के लिए SSH कुंजी का उपयोग करने पर विचार करना चाहिए और SSH पासवर्ड आधारित लॉगिन को पूरी तरह से अक्षम करना चाहिए, और यह संभवतः आपके सर्वर पर डिफ़ॉल्ट SSH पोर्ट को बदलने के लिए एक अच्छा विचार है
विंटर
1
@glglgl यह एक निवारक है। यह किसी को जाने से रोकता है "मुझे आश्चर्य है कि अगर यह असुरक्षित है ..." - एक निर्देशित हमले को नहीं रोकेगा, लेकिन एक आकस्मिक हैकर को रोक देगा। "कहीं और आसान है।"
2

ऐसा लगता है कि वर्डप्रेस साइट के एडमिन कंसोल में आने के लिए ब्रूट फोर्स हैकिंग के प्रयास हैं। मैं अपने WordPress साइटों पर हर समय मिलता है। यदि आपके पास पासवर्ड 'पास' के साथ व्यवस्थापक नाम का उपयोगकर्ता है, तो वे निश्चित रूप से अब तक प्राप्त कर चुके होंगे।

एक सुरक्षा प्लगइन स्थापित करें जो एक निश्चित संख्या में लॉगिन प्रयासों के बाद आईपी पते को अवरुद्ध करेगा। मैं Wordfence का उपयोग करता हूँ

paradroid
स्रोत
4
वे IP पते सैन फ्रांसिस्को और जापान में CloudFlare CDN सर्वर से आ रहे हैं, जो थोड़ा अजीब है।
पैराडायरायड
मुझे उम्मीद है कि इसका मतलब है कि साइट CloudFlare के पीछे है। संभवत: एक X-Forwarded-Forहेडर कुछ ऐसा है जिसका mod_rpafउपयोग किया जा सकता है, लेकिन यह
सिजयोज़ 27'14
@ceejayoz मुझे यकीन नहीं है कि आपका क्या मतलब है। के रूप wp-login.phpमें एक स्थिर फ़ाइल नहीं है, यह सीडीएन पर वैसे भी नहीं होगा। मुझे समझ नहीं आता कि ये आने वाले कनेक्शन CloudFlare CDN सर्वर से क्यों आ रहे हैं। शायद CloudFlare भी सर्वर होस्टिंग करता है?
paradroid
आप CloudFlare पर अपने पूरे डोमेन को इंगित (और आमतौर पर कर सकते हैं) कर सकते हैं। इसका मतलब है कि आने वाले अनुरोध - GET और POST, गतिशील या स्थिर - पहले CloudFlare से गुजरें, और इस तरह उनके आईपी होंगे।
सियजियोज़
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.