WordPress login pogingen ondanks wachtwoord?

donderdag 11 februari 2016 00:30

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Ik gebruik al een tijdje de volgende .htaccess code om WordPress te beschermen tegen login pogingen:

code:

## Protect login
<Files wp-login.php>
AuthType Basic
AuthUserFile /home/x/domains/x.com/.htpasswd/public_html/.htpasswd
AuthName "Private access"
require valid-user
</Files>

Bezoekers die proberen op /wp-admin/ te komen worden geconfronteerd met een popup. Vervolgens houdt het op. Pas als men door de apache beveiliging heen komt kan men een WordPress login poging doen.

Het vreemde is dat ik momenteel via de limit-login attempts op één website helemaal los gaat. Alleen vandaag al krijg ik 20 mailtjes van mislukte pogingen.

Als ik zelf wp-login.php of /wp-admin/ bezoek dan krijg ik netjes de password popup. Hoe doen ze dit???

Mocht dit topic hier toch niet helemaal goed staan dan hoor ik het wel.

[ Voor 5% gewijzigd door sdk1985 op 11-02-2016 00:30 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 11 februari 2016 12:32

Verwijderd

sdk1985 schreef op donderdag 11 februari 2016 @ 12:27:
[...]Hmm die staat er wel tussen, maar niet zo vaak.

Een enkele call is voldoende om een paar duizend wachtwoorden te checken:

https://blog.sucuri.net/2...nst-wordpress-xmlrpc.html

donderdag 11 februari 2016 06:13

Acties:

0 Henk 'm!

SL3Y4R

(Heb er geen verstand van), maar misschien zijn ze er door heen gekomen?

donderdag 11 februari 2016 07:52

Acties:

0 Henk 'm!

Breezers

Probeer eens wordfence ? Deze laat de live traffic zien op IP adres , land, browser gegevens, gebruikte username/wachtwoord en heeft zelfs in de gratis variant mogelijkheden om dit soort pogingen te throttelen if zelfs automatisch op een blacklist te zetten met een mailnotifatie

“We don't make mistakes just happy little accidents” - Bob Ross

donderdag 11 februari 2016 07:58

Acties:

0 Henk 'm!

JJ Le Funk

:twk

Wat doet de popup?

d:)b

donderdag 11 februari 2016 08:06

Acties:

+1 Henk 'm!

Midas.e

Is handig met dinges

Even als algemene tip, je .htpasswd file moet altijd buiten de webroot staan.mochten ze deze achterhalen is je password eigelijk niets meer waard.

Hacktheplanet / PVOutput

donderdag 11 februari 2016 08:14

Acties:

0 Henk 'm!

CH4OS

It's a kind of magic

Het pad /home/x/domains/x.com/.htpasswd/public_html/.htpasswd, is dat ook waar de échte public_html folder zit? Geen idee wat de public_html folder anders doet binnen de verborgen .htpasswd folder, anders heb je best een groot veiligheidsrisico en is het lek denk ik boven. Maar dan zou je het .htpasswd bestand voorbij moeten zien komen in je access-logs.

Midas.e schreef op donderdag 11 februari 2016 @ 08:06:
Even als algemene tip, je .htpasswd file moet altijd buiten de webroot staan.mochten ze deze achterhalen is je password eigelijk niets meer waard.

Echter staat er ook .htpasswd in het pad, wellicht is de échte public_html een andere map! (Al is het wel vreemd om public_html ook in die map te zien)

MrJayMan schreef op donderdag 11 februari 2016 @ 07:58:
Wat doet de popup?

Ik gok - al weet je het nooit zeker natuurlijk - dat de popup het login venstertje is voor de HTTP BASIC AUTH.

[ Voor 175% gewijzigd door CH4OS op 11-02-2016 08:26 ]

donderdag 11 februari 2016 08:35

Acties:

0 Henk 'm!

Orthodroom

Wat staat er in je access logs? Welke url vragen zij op?

Daarnaast bescherm je nu login.php, waarom niet gewoon de directory wp-admin?

[ Voor 0% gewijzigd door Orthodroom op 11-02-2016 08:35 . Reden: typo ]

donderdag 11 februari 2016 10:10

Acties:

0 Henk 'm!

jpeeters

Verander user/pass in .htaccess en kijk of ze er dan nog doorkomen. Kan je in ieder geval comprimised credentials al uitsluiten.

donderdag 11 februari 2016 10:18

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

Apache staat volgens mij by default geen toegang toe tot .htaccess en .htpasswd, maar je zou het even kunnen checken. Het beste is inderdaad om .htpasswd überhaupt niet in de docroot te zetten.

En wat bedoel je precies met login-attempts? Zijn dat attempts op de HTTP basic auth die je erop hebt gezet, of attempts op de login van WordPress die 'er onder' zit?

Gewoon een heel grote verzameling snoertjes

donderdag 11 februari 2016 10:23

Acties:

0 Henk 'm!

sir_huxley

Indien je een vast ip adres hebt zou ik ook alle andere ip adressen blokken op je eigen ip adres na.
Dit kun je ook in de .htaccess aangeven

[ Voor 17% gewijzigd door sir_huxley op 11-02-2016 10:24 ]

donderdag 11 februari 2016 10:44

Acties:

0 Henk 'm!

DJMaze

sir_huxley schreef op donderdag 11 februari 2016 @ 10:23:
Indien je een vast ip adres hebt zou ik ook alle andere ip adressen blokken op je eigen ip adres na.
Dit kun je ook in de .htaccess aangeven

Totdat je in de trein of tijdens je vakantie wil inloggen op je website...

[ Voor 3% gewijzigd door DJMaze op 11-02-2016 10:44 ]

Maak je niet druk, dat doet de compressor maar

donderdag 11 februari 2016 11:23

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Midas.e schreef op donderdag 11 februari 2016 @ 08:06:
Even als algemene tip, je .htpasswd file moet altijd buiten de webroot staan.mochten ze deze achterhalen is je password eigelijk niets meer waard.

Staat hij al, het is een aparte ".htpasswd" map. Wellicht niet helemaal duidelijk door de submap:

Wachtwoord: /domains/x.info/.htpasswd/public_html
Website: /domains/x.info/public_html

Orthodroom schreef op donderdag 11 februari 2016 @ 08:35:
Wat staat er in je access logs? Welke url vragen zij op?

Daarnaast bescherm je nu login.php, waarom niet gewoon de directory wp-admin?

Om één of andere vage reden blokkeer je dan Ajax elementen. Als je dan op een bepaalde pagina op "load more" of iets dergelijks klikt dan krijg je dezelfde login popup. Dat is natuurlijk niet de bedoeling.

CptChaos schreef op donderdag 11 februari 2016 @ 08:14:
Het pad /home/x/domains/x.com/.htpasswd/public_html/.htpasswd, is dat ook waar de échte public_html folder zit? Geen idee wat de public_html folder anders doet binnen de verborgen .htpasswd folder, anders heb je best een groot veiligheidsrisico en is het lek denk ik boven. Maar dan zou je het .htpasswd bestand voorbij moeten zien komen in je access-logs.
[...]
Echter staat er ook .htpasswd in het pad, wellicht is de échte public_html een andere map! (Al is het wel vreemd om public_html ook in die map te zien)
[...]
Ik gok - al weet je het nooit zeker natuurlijk - dat de popup het login venstertje is voor de HTTP BASIC AUTH.

Klopt helemaal. Demu login url: http://goo.gl/jS9QOs.

jpeeters schreef op donderdag 11 februari 2016 @ 10:10:
Verander user/pass in .htaccess en kijk of ze er dan nog doorkomen. Kan je in ieder geval comprimised credentials al uitsluiten.

Gisteren avond verandert naar een door LastPass genegereerd random wachtwoord. Vandaag alweer 10+ mailtjes gehad. Het is een distrubuted attack, dus steeds een ander ip.

sir_huxley schreef op donderdag 11 februari 2016 @ 10:23:
Indien je een vast ip adres hebt zou ik ook alle andere ip adressen blokken op je eigen ip adres na.
Dit kun je ook in de .htaccess aangeven

Dat is opzich wel een goede maar aangezien ik nu een random wachtwoord gebruik en ze er direct alsnog door htaccess heen lijken te komen moet er toch iets anders aan de hand zijn.

Compizfox schreef op donderdag 11 februari 2016 @ 10:18:
Apache staat volgens mij by default geen toegang toe tot .htaccess en .htpasswd, maar je zou het even kunnen checken. Het beste is inderdaad om .htpasswd überhaupt niet in de docroot te zetten.

En wat bedoel je precies met login-attempts? Zijn dat attempts op de HTTP basic auth die je erop hebt gezet, of attempts op de login van WordPress die 'er onder' zit?

Laag1: htaccess wachtwoord popup
Laag2: WordPress zelf, 3x fout wachtwoord=1 uur ban. 2x ban=72 uur ban en een mailtje naar mij. Van die mailtjes krijg ik er nu in 3 dagen 47.

Sinds ik htaccess laag1 heb toegevoegd kreeg ik juist die mailtjes nooit meer, tot nu...

Orthodroom schreef op donderdag 11 februari 2016 @ 08:35:
Wat staat er in je access logs? Welke url vragen zij op?

Daarnaast bescherm je nu login.php, waarom niet gewoon de directory wp-admin?

Stukje uit de logs:

code:

115.77.211.241 - - [10/Feb/2016:01:34:23 +0100] "GET /?author=1 HTTP/1.1" 301 1287 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"
115.77.211.241 - - [10/Feb/2016:01:34:24 +0100] "GET /author/admin/ HTTP/1.1" 200 14412 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0"
115.77.211.241 - - [10/Feb/2016:01:35:15 +0100] "GET /wp-login.php?log=admin&pwd=admin&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:35:52 +0100] "GET /wp-login.php?log=admin&pwd=000000&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:36:17 +0100] "GET /wp-login.php?log=admin&pwd=111&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:36:27 +0100] "GET /wp-login.php?log=admin&pwd=1111&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:36:33 +0100] "GET /wp-login.php?log=admin&pwd=11111&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:36:38 +0100] "GET /wp-login.php?log=admin&pwd=111111&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:36:49 +0100] "GET /wp-login.php?log=admin&pwd=1111111&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:36:57 +0100] "GET /wp-login.php?log=admin&pwd=11111111&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:05 +0100] "GET /wp-login.php?log=admin&pwd=111222&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:11 +0100] "GET /wp-login.php?log=admin&pwd=112112&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:18 +0100] "GET /wp-login.php?log=admin&pwd=1122&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:24 +0100] "GET /wp-login.php?log=admin&pwd=121212&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:27 +0100] "GET /wp-login.php?log=admin&pwd=121314&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 625 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:28 +0100] "GET /wp-login.php?log=admin&pwd=123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:29 +0100] "GET /wp-login.php?log=admin&pwd=123123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:30 +0100] "GET /wp-login.php?log=admin&pwd=123321&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:31 +0100] "GET /wp-login.php?log=admin&pwd=1234&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:32 +0100] "GET /wp-login.php?log=admin&pwd=12345&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:33 +0100] "GET /wp-login.php?log=admin&pwd=123456&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:34 +0100] "GET /wp-login.php?log=admin&pwd=1234567&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:35 +0100] "GET /wp-login.php?log=admin&pwd=12345678&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:36 +0100] "GET /wp-login.php?log=admin&pwd=123456789&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:37 +0100] "GET /wp-login.php?log=admin&pwd=1234567890&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:38 +0100] "GET /wp-login.php?log=admin&pwd=123abc&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:39 +0100] "GET /wp-login.php?log=admin&pwd=123qwe&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:41 +0100] "GET /wp-login.php?log=admin&pwd=131313&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:42 +0100] "GET /wp-login.php?log=admin&pwd=1dc13d&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:43 +0100] "GET /wp-login.php?log=admin&pwd=1q2w3e&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:44 +0100] "GET /wp-login.php?log=admin&pwd=222222&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:45 +0100] "GET /wp-login.php?log=admin&pwd=23456&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:46 +0100] "GET /wp-login.php?log=admin&pwd=321&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:47 +0100] "GET /wp-login.php?log=admin&pwd=321adc&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:48 +0100] "GET /wp-login.php?log=admin&pwd=333333&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:49 +0100] "GET /wp-login.php?log=admin&pwd=444444&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:50 +0100] "GET /wp-login.php?log=admin&pwd=55555&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:51 +0100] "GET /wp-login.php?log=admin&pwd=555555&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:52 +0100] "GET /wp-login.php?log=admin&pwd=666666&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:53 +0100] "GET /wp-login.php?log=admin&pwd=777777&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:54 +0100] "GET /wp-login.php?log=admin&pwd=7777777&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:55 +0100] "GET /wp-login.php?log=admin&pwd=888888&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:56 +0100] "GET /wp-login.php?log=admin&pwd=999999&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:57 +0100] "GET /wp-login.php?log=admin&pwd=abc123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:58 +0100] "GET /wp-login.php?log=admin&pwd=abc1234&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:37:59 +0100] "GET /wp-login.php?log=admin&pwd=abc12345&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:00 +0100] "GET /wp-login.php?log=admin&pwd=admin1&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:01 +0100] "GET /wp-login.php?log=admin&pwd=admin123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:02 +0100] "GET /wp-login.php?log=admin&pwd=admins&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:04 +0100] "GET /wp-login.php?log=admin&pwd=adobe123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:05 +0100] "GET /wp-login.php?log=admin&pwd=asdfghjkl&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:06 +0100] "GET /wp-login.php?log=admin&pwd=azerty&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:07 +0100] "GET /wp-login.php?log=admin&pwd=dragon&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:08 +0100] "GET /wp-login.php?log=admin&pwd=fyfcnfcbz&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:09 +0100] "GET /wp-login.php?log=admin&pwd=hello&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:10 +0100] "GET /wp-login.php?log=admin&pwd=holysh%21t&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:11 +0100] "GET /wp-login.php?log=admin&pwd=iloveyou&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:12 +0100] "GET /wp-login.php?log=admin&pwd=internet&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:13 +0100] "GET /wp-login.php?log=admin&pwd=jerome&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:14 +0100] "GET /wp-login.php?log=admin&pwd=killer&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:15 +0100] "GET /wp-login.php?log=admin&pwd=letmein&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:16 +0100] "GET /wp-login.php?log=admin&pwd=lollipop&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:17 +0100] "GET /wp-login.php?log=admin&pwd=lovers&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:18 +0100] "GET /wp-login.php?log=admin&pwd=monkey&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:19 +0100] "GET /wp-login.php?log=admin&pwd=nimda&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:20 +0100] "GET /wp-login.php?log=admin&pwd=nopas&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:21 +0100] "GET /wp-login.php?log=admin&pwd=nopass&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:22 +0100] "GET /wp-login.php?log=admin&pwd=nopwd&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:23 +0100] "GET /wp-login.php?log=admin&pwd=office&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:24 +0100] "GET /wp-login.php?log=admin&pwd=P%40%24%24W0RD&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:25 +0100] "GET /wp-login.php?log=admin&pwd=p%40%24%24w0rd&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:26 +0100] "GET /wp-login.php?log=admin&pwd=P%40%24%24w0rd&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:27 +0100] "GET /wp-login.php?log=admin&pwd=p%40%24%24word&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:28 +0100] "GET /wp-login.php?log=admin&pwd=P%40%24%24WORD&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:29 +0100] "GET /wp-login.php?log=admin&pwd=p%40ssw0rd&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:31 +0100] "GET /wp-login.php?log=admin&pwd=P%40ssw0rd&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:32 +0100] "GET /wp-login.php?log=admin&pwd=p%40ssword&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:33 +0100] "GET /wp-login.php?log=admin&pwd=pas123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:34 +0100] "GET /wp-login.php?log=admin&pwd=pas1234&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:35 +0100] "GET /wp-login.php?log=admin&pwd=pass&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:36 +0100] "GET /wp-login.php?log=admin&pwd=pass123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:37 +0100] "GET /wp-login.php?log=admin&pwd=pass1234&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:38 +0100] "GET /wp-login.php?log=admin&pwd=password&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:39 +0100] "GET /wp-login.php?log=admin&pwd=Password1&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:40 +0100] "GET /wp-login.php?log=admin&pwd=password1&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:41 +0100] "GET /wp-login.php?log=admin&pwd=Password123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:42 +0100] "GET /wp-login.php?log=admin&pwd=password123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:43 +0100] "GET /wp-login.php?log=admin&pwd=photoshop&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:44 +0100] "GET /wp-login.php?log=admin&pwd=princess&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:45 +0100] "GET /wp-login.php?log=admin&pwd=pwd&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:46 +0100] "GET /wp-login.php?log=admin&pwd=qwe&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:47 +0100] "GET /wp-login.php?log=admin&pwd=qwe123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:48 +0100] "GET /wp-login.php?log=admin&pwd=qweqwe&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:49 +0100] "GET /wp-login.php?log=admin&pwd=qwerty&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:51 +0100] "GET /wp-login.php?log=admin&pwd=qwerty1&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:52 +0100] "GET /wp-login.php?log=admin&pwd=qwerty123&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:53 +0100] "GET /wp-login.php?log=admin&pwd=shadow&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:54 +0100] "GET /wp-login.php?log=admin&pwd=sunshine&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:55 +0100] "GET /wp-login.php?log=admin&pwd=trustno1&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:56 +0100] "GET /wp-login.php?log=admin&pwd=wordpress&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
115.77.211.241 - - [10/Feb/2016:01:38:57 +0100] "GET /wp-login.php?log=admin&pwd=wpsite&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 624 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; hu; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"

Opvallend aangezien die eigenlijk überhaupt niet zou moeten kunnen ivm CSF firewall. https://dl.dropboxusercontent.com/u/26141476/csf.conf

[ Voor 89% gewijzigd door sdk1985 op 11-02-2016 11:36 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 11 februari 2016 11:32

Acties:

0 Henk 'm!

TRON

Orthodroom schreef op donderdag 11 februari 2016 @ 08:35:
Wat staat er in je access logs? Welke url vragen zij op?
[...]

^dit, heb je hier al zicht op?

-edit-
Ah, heb je er net bijgezet.

[ Voor 8% gewijzigd door TRON op 11-02-2016 11:32 ]

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

donderdag 11 februari 2016 11:36

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

code:

1	115.77.211.241 - - [10/Feb/2016:01:35:15 +0100] "GET /wp-login.php?log=admin&pwd=admin&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401 .....

Zegt toch echt dat Apache de toegang ontzegt. De error is namelijk 401 - Unauthorized.

[ Voor 8% gewijzigd door Wim-Bart op 11-02-2016 11:37 ]

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

donderdag 11 februari 2016 11:37

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Moet er wel bij opmerken dat dit log van 10 feb is. Dus in theorie zou dat nog kunnen zijn van voor ik het wachtwoord heb verandert (weet niet mee precies wanneer dat was). De log van 11 komt denk ik pas vanavond na 12 uur in mijn root tevoorschijn

.

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 11 februari 2016 11:38

Acties:

0 Henk 'm!

maikoool

Wim-Bart schreef op donderdag 11 februari 2016 @ 11:36:
code:
1
115.77.211.241 - - [10/Feb/2016:01:35:15 +0100] "GET /wp-login.php?log=admin&pwd=admin&redirect_to=%2Fwp-admin%2F&wp-submit=Log%20In&testcookie=1 HTTP/1.1" 401  .....
Zegt toch echt dat Apache de toegang ontzegt.

Dat is ook wat ik eruit opmaak (je was me net voor

Mag ik vragen van welk systeem je deze emails krijgt?:

Het vreemde is dat ik momenteel via de limit-login attempts op één website helemaal los gaat. Alleen vandaag al krijg ik 20 mailtjes van mislukte pogingen.

donderdag 11 februari 2016 11:45

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

sdk1985 schreef op donderdag 11 februari 2016 @ 11:23:
[...]

Staat hij al, het is een aparte ".htpasswd" map. Wellicht niet helemaal duidelijk door de submap:

Wachtwoord: /domains/x.info/.htpasswd/public_html
Website: /domains/x.info/public_html

[...]

Overigens de goede methode, buiten de site gehouden. Heb wel eens dit soort constructies gezien met de .htpasswd file in de root zelf. Dan is het een koud kunstje om er in te breken, zeker met een rainbow table.

Wat ik me trouwens af vraag is, zoals maikoool al schreef, waar komt de e-mail vandaan, komt het niet van apache zelf of nginx of wat dan ook en niet uit WP zelf.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

donderdag 11 februari 2016 11:50

Acties:

0 Henk 'm!

sdk1985

Topicstarter

De mailtjes komen van de plugin Limit Login Attempts. Daar krijg je dus in theorie pas mee te maken nadat je door apache bent toegelaten (dat is in ieder geval het idee). Zie demo url: http://goo.gl/jS9QOs

Toch komt er heel wat door (of via een andere manier):

code:

Total lockouts  Reset Counter 989 lockouts since last reset
Active lockouts Restore Lockouts 24 IP is currently blocked from trying to log in

IP  Tried to log in as
91.207.6.18 admin (1 lockout)
46.119.112.121  admin (2 lockouts)
91.200.12.94    admin (2 lockouts)
91.200.12.40    admin (1 lockout)
58.22.70.224    admin (1 lockout)
112.111.165.203 admin (1 lockout)
78.168.251.121  admin (1 lockout)
195.154.233.86  wordpressinsideinfo (1 lockout)
110.85.80.138   admin (1 lockout)
193.189.117.243 admin (2 lockouts)
91.207.7.158    admin (12 lockouts)
150.162.249.23  administrator (1 lockout)
91.121.7.42 administrator (1 lockout)
85.128.142.25   Administrator (1 lockout)
212.179.38.72   admin (1 lockout)
42.117.3.76 Administrator (1 lockout)
175.42.95.246   admin (1 lockout)
176.42.41.93    admin (1 lockout)
36.248.187.66   admin (1 lockout)
185.29.8.18 admin (1 lockout)
5.254.98.73 www.wordpressinside.com (6 lockouts), wordpressinside (5 lockouts), admin (3 lockouts)
66.85.164.90    admin (1 lockout)
195.154.226.83  wordpressinsideinfo (1 lockout)
173.208.177.59  admin (1 lockout)
195.3.144.98    admin (4 lockouts)
46.119.124.189  admin (4 lockouts)
217.77.219.158  Administrator (1 lockout)
46.118.154.195  admin (2 lockouts)
195.154.235.59  www (1 lockout)
194.6.232.149   admin (10 lockouts)
89.45.206.88    Administrator (1 lockout)
43.252.230.227  admin (1 lockout)
78.183.132.80   admin (1 lockout)
85.104.170.125  admin (6 lockouts)
91.200.12.50    admin (6 lockouts)
62.210.82.243   wordpressinside (1 lockout)
83.45.72.177    admin (1 lockout)
101.50.116.251  admin (1 lockout)
88.211.40.178   admin (1 lockout)
111.91.77.153   admin (1 lockout)
87.68.38.169    admin (1 lockout)
93.115.24.149   admin (1 lockout), test (1 lockout)
79.119.184.96   admin (1 lockout)
42.60.243.68    admin (1 lockout)
62.235.176.200  admin (2 lockouts)
188.214.7.143   admin (1 lockout)
188.219.226.130 admin (1 lockout)
200.219.152.238 admin (1 lockout)
91.188.48.8 admin (1 lockout)
200.54.189.210  admin (1 lockout), test (1 lockout)
86.20.33.197    admin (1 lockout)
85.84.29.91 admin (1 lockout)
82.168.49.117   admin (2 lockouts)
95.103.170.63   admin (1 lockout)
31.11.103.28    admin (1 lockout)
31.176.139.93   admin (1 lockout)
186.105.109.93  admin (1 lockout)
178.220.151.158 admin (1 lockout)
75.131.221.21   admin (1 lockout), wordpressinside (1 lockout)
143.177.129.50  admin (1 lockout)
89.155.235.117  admin (1 lockout)
202.142.158.218 test (1 lockout)
125.60.240.224  test (1 lockout)
110.93.95.195   test (1 lockout)
62.68.48.67 test (2 lockouts)
84.80.155.233   test (1 lockout)
2.71.253.213    test (1 lockout)
71.11.135.61    test (1 lockout), wordpressinside (1 lockout)
62.149.108.89   test (2 lockouts)
60.52.106.232   test (2 lockouts)
88.246.103.123  test (1 lockout)
86.126.110.130  test (1 lockout)
222.14.209.194  test (2 lockouts)
89.35.75.112    test (1 lockout)
85.222.92.225   test (2 lockouts)
108.26.63.130   test (1 lockout)
182.160.4.18    test (1 lockout), admin (1 lockout)
109.100.245.237 test (1 lockout)
31.210.189.73   test (2 lockouts)
126.77.31.204   test (1 lockout), wordpressinside (1 lockout)
46.117.142.237  test (1 lockout)
89.134.180.105  test (1 lockout)
109.92.76.25    test (1 lockout), admin (1 lockout)
89.136.98.223   test (1 lockout), admin (1 lockout)
83.110.10.57    test (1 lockout)
195.16.77.241   test (1 lockout), wordpressinside (1 lockout)
86.63.122.193   test (2 lockouts)
89.180.147.25   test (1 lockout)
111.88.130.193  test (1 lockout)
5.15.133.85 test (1 lockout)
82.166.119.110  test (1 lockout), wordpressinside (1 lockout)
37.107.177.12   test (1 lockout)
91.74.223.119   test (2 lockouts)
46.189.174.150  test (1 lockout)
121.161.56.49   test (1 lockout)
212.187.200.190 test (1 lockout), wordpressinside (1 lockout)
122.53.125.3    test (2 lockouts)
180.70.82.228   test (2 lockouts)
95.211.204.225  test (1 lockout), wordpressinside (1 lockout)
202.142.104.249 test (1 lockout)
124.171.99.225  test (2 lockouts)
110.175.46.218  test (1 lockout)
211.226.162.174 test (1 lockout), admin (1 lockout)
91.135.85.146   test (1 lockout)
95.225.128.107  wordpressinside (1 lockout)
92.99.95.66 wordpressinside (2 lockouts)
109.98.184.65   wordpressinside (1 lockout)
89.137.123.13   wordpressinside (1 lockout)
212.189.140.12  wordpressinside (1 lockout), test (1 lockout)
78.242.33.203   wordpressinside (1 lockout), test (1 lockout)
193.138.153.153 wordpressinside (2 lockouts)
31.154.17.106   wordpressinside (1 lockout)
211.55.74.27    wordpressinside (2 lockouts)
91.183.94.86    wordpressinside (1 lockout)
152.238.73.185  wordpressinside (1 lockout)
78.1.239.193    wordpressinside (1 lockout)
217.174.154.152 wordpressinside (1 lockout)
203.206.41.239  wordpressinside (1 lockout)
118.152.72.33   wordpressinside (1 lockout)
91.137.174.155  wordpressinside (1 lockout)
89.138.32.26    wordpressinside (1 lockout)
81.99.94.117    wordpressinside (1 lockout)
85.154.121.159  wordpressinside (2 lockouts)
46.189.245.8    wordpressinside (1 lockout), test (1 lockout)
62.209.197.2    wordpressinside (1 lockout)
2.50.242.51 wordpressinside (1 lockout)
110.22.97.114   wordpressinside (1 lockout), admin (1 lockout)
41.140.248.64   wordpressinside (1 lockout)
132.72.209.10   wordpressinside (1 lockout)
79.158.142.250  wordpressinside (1 lockout)
103.252.201.65  wordpressinside (1 lockout), test (1 lockout)
31.55.76.14 wordpressinside (1 lockout), admin (1 lockout)
121.58.243.58   wordpressinside (1 lockout)
178.199.88.126  wordpressinside (1 lockout)
73.29.194.189   wordpressinside (1 lockout)
89.73.86.79 wordpressinside (2 lockouts)
62.163.209.207  wordpressinside (1 lockout)
178.41.145.90   wordpressinside (1 lockout)
89.114.212.78   wordpressinside (1 lockout), test (1 lockout)
89.114.37.71    wordpressinside (1 lockout)
213.144.96.71   wordpressinside (1 lockout)
36.236.199.38   wordpressinside (1 lockout)
31.47.107.246   wordpressinside (1 lockout)
79.130.37.122   wordpressinside (1 lockout)
66.161.54.196   wordpressinside (1 lockout)
213.204.103.32  wordpressinside (1 lockout)
186.211.59.229  wordpressinside (1 lockout)
115.93.115.203  wordpressinside (1 lockout)
90.244.55.207   wordpressinside (1 lockout)
103.242.217.50  wordpressinside (1 lockout)
79.112.213.115  wordpressinside (1 lockout)
176.221.120.125 wordpressinside (1 lockout)
37.188.68.73    wordpressinside (1 lockout)
80.11.137.94    wordpressinside (1 lockout), test (1 lockout)
179.233.145.220 wordpressinside (1 lockout)
93.106.127.68   wordpressinside (1 lockout)
178.59.245.178  wordpressinside (1 lockout)
212.231.40.131  wordpressinside (1 lockout)
176.21.91.49    wordpressinside (1 lockout)
93.35.242.48    wordpressinside (1 lockout), test (1 lockout)
175.139.179.253 wordpressinside (1 lockout)
46.9.160.240    wordpressinside (1 lockout)
46.216.10.13    wordpressinside (1 lockout)
217.103.126.236 wordpressinside (1 lockout)
188.24.90.72    wordpressinside (1 lockout), test (1 lockout)
143.176.93.68   wordpressinside (1 lockout)
91.191.59.186   wordpressinside (1 lockout)
82.114.68.106   wordpressinside (1 lockout), test (1 lockout)
74.93.211.41    wordpressinside (1 lockout)
94.205.80.196   wordpressinside (1 lockout)
88.10.162.47    wordpressinside (2 lockouts)
87.100.41.230   wordpressinside (2 lockouts)
14.202.105.185  wordpressinside (1 lockout), test (1 lockout)
36.84.64.57 wordpressinside (1 lockout), test (1 lockout)
74.134.93.128   wordpressinside (1 lockout)
179.98.157.113  wordpressinside (1 lockout)
46.185.227.122  wordpressinside (1 lockout)
79.180.133.253  wordpressinside (2 lockouts)
173.18.188.193  admin (1 lockout)
89.212.206.252  admin (1 lockout)
84.252.38.248   admin (1 lockout), test (1 lockout)
190.213.18.30   admin (1 lockout)
46.117.198.66   admin (1 lockout), wordpressinside (1 lockout)
190.213.116.47  admin (1 lockout)
188.25.116.97   admin (1 lockout)
80.112.243.143  admin (1 lockout), wordpressinside (1 lockout)
31.215.86.198   admin (1 lockout), test (1 lockout)
186.231.99.80   admin (1 lockout), wordpressinside (1 lockout)
151.224.21.240  admin (1 lockout), wordpressinside (1 lockout)
188.25.218.110  admin (1 lockout)
141.85.0.118    admin (1 lockout), test (1 lockout)
93.35.103.143   admin (1 lockout)
164.126.79.164  admin (1 lockout)
114.25.155.214  admin (1 lockout)
78.234.197.113  admin (1 lockout), wordpressinside (1 lockout)
121.45.123.178  admin (1 lockout), test (1 lockout)
79.118.187.84   admin (1 lockout)
95.249.43.19    admin (1 lockout), test (1 lockout)
92.85.149.16    admin (1 lockout)
189.69.55.96    admin (1 lockout)
178.21.237.211  admin (1 lockout), test (1 lockout)
94.208.137.178  admin (1 lockout)
211.224.14.50   admin (1 lockout), wordpressinside (1 lockout)
110.67.249.181  admin (1 lockout)
172.90.19.75    admin (1 lockout), wordpressinside (1 lockout)
115.91.132.163  admin (1 lockout), wordpressinside (1 lockout)
118.208.2.159   admin (1 lockout)
196.253.161.156 admin (1 lockout), wordpressinside (1 lockout)
196.43.135.13   admin (1 lockout), test (1 lockout)
78.98.52.32 admin (1 lockout)
49.144.138.73   admin (1 lockout)
181.48.222.57   admin (1 lockout)
177.230.15.98   admin (1 lockout), wordpressinside (1 lockout)
180.232.98.66   admin (1 lockout), test (1 lockout)
58.185.218.226  admin (1 lockout), wordpressinside (1 lockout)
79.182.13.204   admin (1 lockout)
86.86.127.125   admin (1 lockout)
90.181.202.177  admin (1 lockout)
131.0.124.229   admin (1 lockout)
72.225.245.8    admin (1 lockout)
86.99.8.172 admin (1 lockout)
124.185.162.104 admin (1 lockout)
202.126.28.154  admin (1 lockout), wordpressinside (1 lockout)
121.151.85.66   admin (1 lockout)
79.169.171.82   admin (1 lockout)
93.142.139.150  admin (1 lockout)
58.108.189.112  admin (1 lockout)
80.6.112.74 admin (1 lockout), wordpressinside (1 lockout)
86.146.35.30    admin (1 lockout)
178.156.121.177 admin (1 lockout)
86.85.39.150    admin (1 lockout), test (1 lockout)
5.22.129.148    admin (1 lockout)
78.23.194.144   admin (1 lockout)
124.13.207.137  admin (1 lockout)
200.54.235.242  admin (1 lockout), wordpressinside (1 lockout)
126.94.120.71   admin (1 lockout)
179.252.1.22    admin (1 lockout)
5.0.225.238 admin (1 lockout)
149.129.31.190  admin (1 lockout)
39.32.135.37    admin (1 lockout)
79.178.166.206  admin (1 lockout), wordpressinside (1 lockout)
59.167.214.72   admin (1 lockout), wordpressinside (1 lockout)
82.178.134.194  admin (1 lockout)
190.6.219.75    admin (1 lockout)
190.14.200.2    admin (1 lockout), wordpressinside (1 lockout)
182.19.235.166  admin (1 lockout), wordpressinside (1 lockout)
98.14.182.113   admin (1 lockout), wordpressinside (1 lockout)
103.230.63.110  admin (1 lockout)
96.254.43.47    admin (1 lockout)
212.242.224.88  admin (1 lockout), wordpressinside (1 lockout)
91.192.196.58   admin (1 lockout)
120.29.108.9    admin (1 lockout)
119.2.127.29    admin (1 lockout), wordpressinside (1 lockout)
151.226.45.67   admin (1 lockout)
105.225.69.215  admin (1 lockout)
2.232.70.34 admin (1 lockout), wordpressinside (1 lockout)
79.101.215.128  admin (1 lockout)
89.216.124.6    admin (1 lockout)
92.10.87.241    admin (1 lockout), wordpressinside (1 lockout)
85.254.158.36   admin (1 lockout)
88.241.252.144  admin (1 lockout)
213.66.28.252   admin (1 lockout)
77.58.69.243    admin (1 lockout)
81.245.234.127  admin (1 lockout)
50.136.175.55   admin (1 lockout), wordpressinside (1 lockout)
91.148.100.115  admin (1 lockout)
93.147.199.54   admin (1 lockout)
186.91.179.234  admin (1 lockout)
213.150.178.114 admin (1 lockout), wordpressinside (1 lockout)
2.50.57.152 admin (1 lockout)
173.80.28.27    admin (1 lockout)
124.43.195.123  admin (1 lockout), wordpressinside (1 lockout)
126.8.237.62    admin (1 lockout)
5.13.228.222    test (1 lockout)
84.245.219.96   test (1 lockout), wordpressinside (1 lockout)
123.99.104.155  test (1 lockout)
89.152.52.186   test (1 lockout)
46.193.136.5    test (1 lockout), wordpressinside (1 lockout)
86.160.6.41 test (1 lockout)
200.68.8.225    test (1 lockout)
46.40.22.163    admin (1 lockout)
116.86.192.60   test (1 lockout), wordpressinside (1 lockout)
109.101.107.107 test (1 lockout)
84.50.204.132   test (1 lockout)
80.8.111.235    test (1 lockout)
103.230.5.106   test (1 lockout)
86.96.63.35 test (1 lockout)
78.189.215.175  test (1 lockout)
95.173.207.34   test (1 lockout)
178.235.188.21  test (1 lockout)
217.164.137.166 test (1 lockout)
82.247.14.54    test (1 lockout)
109.122.108.44  test (1 lockout)
93.110.155.4    test (1 lockout)
85.139.238.35   test (1 lockout)
93.140.172.15   test (1 lockout), wordpressinside (1 lockout)
82.78.54.199    test (1 lockout)
103.252.200.216 test (1 lockout)
208.104.131.34  test (2 lockouts)
217.126.61.147  test (1 lockout), wordpressinside (1 lockout)
41.161.118.171  test (1 lockout)
77.131.254.17   test (1 lockout)
216.189.168.24  test (1 lockout)
79.7.12.246 test (1 lockout)
64.110.234.252  test (1 lockout)
31.185.197.193  test (1 lockout)
192.197.60.2    test (1 lockout)
92.80.19.228    test (1 lockout)
178.16.40.203   test (1 lockout)
201.214.23.104  test (1 lockout)
175.136.233.66  test (1 lockout)
78.203.12.30    test (1 lockout)
212.12.206.158  test (1 lockout)
82.171.192.57   test (1 lockout), wordpressinside (1 lockout)
93.173.153.174  test (1 lockout)
183.182.105.232 test (1 lockout)
46.40.127.96    test (1 lockout)
109.160.225.138 test (1 lockout)
190.94.3.140    test (1 lockout)
172.198.162.192 test (1 lockout)
109.173.147.50  test (1 lockout)
176.45.250.170  test (1 lockout), wordpressinside (1 lockout)
81.105.204.117  test (1 lockout)
31.154.3.222    test (1 lockout)
41.68.114.235   test (1 lockout)
178.153.53.12   test (1 lockout)
91.182.83.187   test (1 lockout)
24.104.245.151  test (1 lockout)
197.205.71.242  test (1 lockout)
213.175.179.138 test (1 lockout), wordpressinside (1 lockout)
46.193.0.237    test (1 lockout), wordpressinside (1 lockout)
87.205.83.221   test (1 lockout)
105.227.172.102 test (1 lockout)
124.197.52.6    test (1 lockout)
186.4.32.38 test (1 lockout)
188.24.159.26   test (1 lockout)
85.187.221.36   test (1 lockout)
92.55.105.28    test (1 lockout)
82.15.240.172   test (1 lockout)
85.154.148.98   test (1 lockout)
5.12.255.43 test (1 lockout)
203.213.240.65  test (1 lockout), wordpressinside (1 lockout)
89.180.147.54   test (1 lockout)
79.43.132.145   test (1 lockout)
189.45.143.80   test (1 lockout)
202.83.172.26   test (1 lockout)
92.155.158.45   test (1 lockout)
212.93.105.46   test (1 lockout), wordpressinside (1 lockout)
81.140.182.239  test (1 lockout)
176.12.115.208  test (1 lockout)
108.80.246.103  test (1 lockout)
203.59.149.214  test (1 lockout)
39.32.8.227 test (1 lockout), wordpressinside (1 lockout)
90.44.125.229   test (1 lockout)
89.212.202.43   test (1 lockout)
2.86.213.45 test (1 lockout)
175.138.233.78  test (1 lockout)
87.116.162.254  test (1 lockout)
194.210.192.129 test (1 lockout)
190.20.15.198   test (1 lockout)
203.83.19.90    test (1 lockout)
118.100.174.210 test (1 lockout)
139.216.98.36   test (1 lockout), wordpressinside (1 lockout)
171.96.181.169  test (1 lockout)
202.129.11.126  test (1 lockout)
191.250.193.139 test (1 lockout)
83.205.191.210  test (1 lockout)
200.87.86.10    test (1 lockout)
23.240.208.137  test (1 lockout)
190.139.250.217 test (1 lockout)
200.112.60.17   test (1 lockout)
62.163.27.61    test (1 lockout)
31.11.114.158   test (1 lockout)
73.191.71.101   test (1 lockout)
79.101.146.207  test (1 lockout)
111.223.95.1    test (1 lockout)
82.44.28.8  test (1 lockout)
188.50.14.50    test (1 lockout)
94.38.70.133    test (1 lockout)
91.157.221.242  test (1 lockout)
1.32.75.20  test (1 lockout)
197.79.10.62    test (1 lockout)
94.189.228.67   test (1 lockout)
82.137.124.105  test (1 lockout)
190.166.252.43  test (1 lockout)
84.90.33.94 wordpressinside (1 lockout)
90.210.125.66   wordpressinside (1 lockout)
80.217.194.74   wordpressinside (1 lockout)
77.172.249.89   wordpressinside (1 lockout)
168.167.126.219 wordpressinside (1 lockout)
86.47.50.81 wordpressinside (1 lockout)
65.48.195.59    wordpressinside (1 lockout)
187.113.141.190 wordpressinside (1 lockout)
79.114.236.9    wordpressinside (1 lockout)
197.251.38.60   wordpressinside (1 lockout)
86.97.6.195 wordpressinside (1 lockout)
78.180.74.80    wordpressinside (1 lockout)
118.101.255.162 wordpressinside (1 lockout)
79.173.210.66   wordpressinside (1 lockout)
101.181.110.2   wordpressinside (1 lockout)
123.100.174.169 wordpressinside (1 lockout)
188.44.23.174   wordpressinside (1 lockout)
71.79.48.186    wordpressinside (1 lockout)
186.87.211.248  wordpressinside (1 lockout)
84.192.119.87   wordpressinside (1 lockout)
180.250.75.218  wordpressinside (1 lockout)
119.94.47.238   wordpressinside (1 lockout)
202.142.104.148 wordpressinside (1 lockout)
108.162.171.178 wordpressinside (1 lockout)
198.16.156.52   wordpressinside (1 lockout)
168.167.255.158 wordpressinside (1 lockout)
94.201.194.59   wordpressinside (1 lockout)
73.223.215.16   wordpressinside (1 lockout)
92.57.30.205    wordpressinside (1 lockout)
24.144.16.69    wordpressinside (1 lockout)
106.240.246.76  wordpressinside (1 lockout)
82.102.82.181   wordpressinside (1 lockout)
86.14.124.97    wordpressinside (1 lockout)
73.196.40.175   wordpressinside (1 lockout)
222.154.137.45  wordpressinside (1 lockout)
31.6.42.42  wordpressinside (1 lockout)
86.183.0.74 wordpressinside (1 lockout)
171.4.139.245   wordpressinside (1 lockout)
125.133.199.31  wordpressinside (1 lockout)
117.6.162.14    wordpressinside (1 lockout)
119.95.151.196  wordpressinside (1 lockout)
203.229.75.81   wordpressinside (1 lockout)
80.56.15.156    wordpressinside (1 lockout)
161.22.59.205   wordpressinside (1 lockout)
146.198.96.32   wordpressinside (1 lockout)
212.93.100.35   wordpressinside (1 lockout)
78.0.194.227    wordpressinside (1 lockout)
106.245.88.86   wordpressinside (1 lockout)
203.106.184.81  wordpressinside (1 lockout)
110.67.251.147  wordpressinside (1 lockout)
89.152.92.59    wordpressinside (1 lockout)
176.40.19.26    wordpressinside (1 lockout)
85.167.161.99   wordpressinside (1 lockout)
46.185.176.113  wordpressinside (1 lockout)
107.202.164.162 wordpressinside (1 lockout)
213.151.54.220  wordpressinside (1 lockout)
178.61.130.25   wordpressinside (1 lockout)
77.125.88.207   wordpressinside (1 lockout)
83.110.74.225   wordpressinside (1 lockout)
69.140.44.196   wordpressinside (1 lockout)
220.143.62.40   wordpressinside (1 lockout)
36.84.64.25 wordpressinside (1 lockout)
62.235.176.159  wordpressinside (1 lockout)
190.15.201.36   wordpressinside (1 lockout)
200.219.152.6   wordpressinside (1 lockout)
82.247.70.189   wordpressinside (1 lockout)
46.163.62.160   wordpressinside (1 lockout)
177.102.46.35   wordpressinside (1 lockout)
194.63.142.150  admin (1 lockout), wordpressinside (1 lockout)
112.145.103.105 test (1 lockout)
62.109.25.94    admin (6 lockouts)
85.106.216.68   admin (1 lockout)
23.94.150.226   admin (1 lockout)
37.26.14.162    admin (1 lockout)
83.99.194.139   admin (1 lockout)
37.35.64.141    admin (1 lockout)
198.20.73.178   admin (2 lockouts)
62.149.81.45    admin (1 lockout)
75.143.208.206  admin (1 lockout)
112.210.114.8   admin (1 lockout)
105.236.232.213 admin (1 lockout)
85.187.177.243  admin (1 lockout), test (1 lockout)
81.111.148.186  admin (1 lockout)
86.100.248.13   admin (1 lockout)
77.81.75.191    admin (1 lockout), test (1 lockout)
190.150.114.182 test (1 lockout)
179.180.194.252 test (1 lockout)
86.122.49.9 test (2 lockouts)
83.249.238.52   test (1 lockout)
201.211.31.187  test (1 lockout)
41.87.178.215   test (1 lockout)
198.74.117.72   admin (1 lockout), wordpressinside@wordpressinside (1 lockout)
80.98.49.247    test (1 lockout)
222.242.74.52   admin (3 lockouts), wordpressinside@wordpressinside (1 lockout)
91.200.12.95    admin (1 lockout)
79.178.180.215  test (1 lockout)
62.175.182.2    test (1 lockout)
109.98.213.35   test (1 lockout)
43.225.192.18   test (1 lockout)
178.126.235.46  test (1 lockout)
218.22.21.14    test (1 lockout), wordpressinside (1 lockout)
217.119.114.46  test (1 lockout)
202.44.228.42   test (1 lockout)
82.166.23.27    test (1 lockout)
94.59.105.245   test (1 lockout)
195.26.151.27   test (2 lockouts)
62.121.99.84    test (1 lockout)
37.157.223.14   test (1 lockout)
177.21.233.242  wordpressinside (1 lockout)
88.255.137.194  wordpressinside (1 lockout)
179.105.91.166  wordpressinside (1 lockout)
79.118.59.23    wordpressinside (1 lockout)
67.176.111.74   wordpressinside (1 lockout)
93.103.73.164   wordpressinside (1 lockout)
37.132.17.132   wordpressinside (1 lockout)
82.166.23.81    wordpressinside (1 lockout)
81.10.217.22    wordpressinside (1 lockout)
78.56.30.210    wordpressinside (1 lockout)
190.46.204.43   wordpressinside (1 lockout)
109.102.148.10  wordpressinside (1 lockout)
92.99.248.118   wordpressinside (1 lockout)
2.50.173.65 admin (1 lockout)
81.33.227.155   admin (1 lockout)
108.38.197.191  admin (1 lockout)
197.89.35.182   admin (1 lockout)
91.206.211.201  admin (1 lockout), wordpressinside (1 lockout)
41.228.17.54    admin (1 lockout)
86.21.31.121    admin (1 lockout)
85.250.196.223  test (1 lockout)
95.86.39.13 test (1 lockout)
181.59.254.184  test (1 lockout)
203.106.141.205 test (1 lockout)
31.41.94.153    test (1 lockout)
31.215.52.88    test (1 lockout)
46.40.22.106    test (1 lockout)
196.205.205.123 test (1 lockout)
123.231.225.52  test (1 lockout)
46.121.251.112  test (1 lockout)
188.2.220.223   test (1 lockout)
176.123.29.185  admin (2 lockouts)
186.137.130.207 test (1 lockout)
193.201.227.133 admin (8 lockouts)
121.54.44.90    test (1 lockout)
212.235.23.158  wordpressinside (1 lockout)
96.44.189.100   admin (1 lockout)
176.10.104.240  admin (1 lockout)
109.98.174.16   wordpressinside (1 lockout)
176.123.28.40   admin (1 lockout)
213.226.201.206 admin (1 lockout)
176.123.2.23    admin (1 lockout)
176.123.10.208  admin (1 lockout)
188.135.42.75   admin (1 lockout)
91.200.12.11    admin (1 lockout)
176.123.6.118   admin (2 lockouts)
176.123.25.88   admin (2 lockouts)
176.123.13.3    admin (2 lockouts)
176.123.5.32    admin (1 lockout)
176.123.26.130  admin (2 lockouts)
176.123.28.55   admin (1 lockout)
176.123.29.85   admin (1 lockout)
46.161.168.19   admin (8 lockouts)
176.123.30.117  admin (1 lockout)
176.123.15.154  admin (2 lockouts)
176.123.7.172   admin (1 lockout)
91.200.12.139   admin (1 lockout)
176.123.12.158  admin (1 lockout)
176.123.10.153  admin (1 lockout)
217.73.166.10   test (1 lockout)
79.53.75.120    test (1 lockout)
80.227.8.166    test (2 lockouts)
88.5.173.43 test (1 lockout)
70.49.200.200   test (1 lockout)
94.67.182.32    test (1 lockout)
79.108.10.154   test (1 lockout)
93.113.157.7    test (1 lockout)
5.39.217.5  admin (1 lockout)
50.93.203.147   admin (1 lockout)
202.177.75.21   admin (1 lockout)
104.233.86.91   admin (3 lockouts)
89.137.137.244  admin (1 lockout)
171.232.10.8    admin (1 lockout)
109.75.38.28    admin (1 lockout)
93.9.198.26 admin (1 lockout)
94.43.197.8 admin (1 lockout)
78.96.160.223   admin (1 lockout)
200.85.42.142   admin (1 lockout)
31.201.49.130   admin (1 lockout)
37.210.254.93   admin (1 lockout)
92.63.87.97 password (1 lockout), admin (2 lockouts), wordpressinside.info (1 lockout), wordpressinside.com (1 lockout)
50.93.200.221   admin (1 lockout)
50.93.202.229   admin (1 lockout)
92.63.87.10 admin (1 lockout), wordpressinside (1 lockout)
46.148.22.18    admin (11 lockouts), wordpressinside (8 lockouts), wordpressinside.com (3 lockouts), wordpressinside.info (1 lockout), www.wordpressinside.info (1 lockout)
77.66.80.51 admin (1 lockout)
5.61.38.9   wordpressinside.com (1 lockout), wordpressinside (2 lockouts)
195.154.241.157 Admin (1 lockout)
185.92.72.33    wordpressinside.com (1 lockout), admin (1 lockout), wordpressinside (2 lockouts)
46.148.18.162   admin (7 lockouts), wordpressinside.info (3 lockouts), wordpressinside.com (5 lockouts), wordpressinside (2 lockouts), www.wordpressinside.info (1 lockout)
195.154.243.31  Admin (1 lockout)
91.207.60.10    wordpressinside (1 lockout), wordpressinside.com (1 lockout)
188.163.75.7    admin (1 lockout)
37.72.184.24    admin (1 lockout)
42.117.1.232    admin (1 lockout)
27.254.81.150   admin (1 lockout)
59.188.232.125  admin (1 lockout)
149.202.60.7    admin (1 lockout)
178.137.85.67   admin (1 lockout)
50.62.208.133   admin (2 lockouts)
50.62.208.52    admin (2 lockouts)
89.161.195.181  admin (1 lockout)
50.62.208.106   admin (1 lockout)
213.201.31.253  admin (1 lockout)
88.80.196.2 wordpressinside.com (1 lockout)
109.199.117.116 admin (2 lockouts)
79.96.139.9 admin (1 lockout)
184.168.192.140 admin (2 lockouts)
96.127.135.42   admin (1 lockout)
72.167.190.179  admin (1 lockout)
188.128.154.220 admin (1 lockout)
89.161.208.166  admin (1 lockout)
158.194.244.153 admin (1 lockout)
72.167.190.172  admin (1 lockout)
195.67.74.166   admin (1 lockout)
184.168.192.133 admin (1 lockout)
50.62.208.36    admin (1 lockout)
194.44.130.140  admin (2 lockouts)
89.161.145.161  admin (2 lockouts)
193.111.139.216 admin (1 lockout)
72.167.190.37   admin (1 lockout)
79.96.125.54    admin (1 lockout)
50.62.208.71    admin (1 lockout)
74.50.21.13 admin (3 lockouts)
62.149.143.95   admin (2 lockouts)
184.168.200.194 admin (4 lockouts)
50.62.176.82    admin (3 lockouts)
23.91.70.107    admin (2 lockouts)
50.62.161.75    admin (2 lockouts)
46.252.205.187  admin (4 lockouts)
192.145.237.62  admin (2 lockouts)
50.62.176.131   admin (4 lockouts)
208.109.181.210 admin (2 lockouts)
82.146.47.99    admin (4 lockouts)
62.149.143.182  admin (2 lockouts)
184.168.152.142 admin (2 lockouts)
69.195.124.123  admin (3 lockouts)
37.59.26.74 admin (2 lockouts)
184.170.240.130 admin (1 lockout)
75.98.175.123   admin (4 lockouts)
50.62.176.35    admin (3 lockouts)
50.62.161.89    admin (1 lockout)
91.239.66.84    admin (2 lockouts)
91.146.107.31   admin (2 lockouts)
74.220.215.71   admin (4 lockouts)
184.168.27.92   admin (2 lockouts)
72.167.131.9    admin (2 lockouts)
50.62.161.162   admin (4 lockouts)
173.201.196.101 admin (1 lockout)
5.133.180.199   admin (3 lockouts)
89.19.30.160    admin (2 lockouts)
62.149.143.75   admin (2 lockouts)
182.50.130.163  admin (2 lockouts)
188.116.9.68    admin (3 lockouts)
50.62.161.55    admin (3 lockouts)
184.168.152.18  admin (2 lockouts)
184.168.193.63  admin (1 lockout)
209.17.114.78   admin (1 lockout)
72.167.183.50   admin (2 lockouts)
72.167.232.18   admin (2 lockouts)
188.93.144.145  admin (1 lockout)
72.167.183.14   admin (2 lockouts)
50.62.161.46    admin (2 lockouts)
68.178.254.107  admin (1 lockout)
93.125.99.35    admin (2 lockouts)
184.168.193.64  admin (1 lockout)
50.62.176.60    admin (2 lockouts)
93.186.197.131  admin (1 lockout)
184.168.193.199 admin (1 lockout)
50.62.161.76    admin (2 lockouts)
188.93.144.171  admin (2 lockouts)
103.6.196.238   admin (1 lockout)
208.109.181.237 admin (1 lockout)
208.109.181.175 admin (2 lockouts)
103.240.150.171 admin (1 lockout)
184.168.193.200 admin (1 lockout)
62.149.143.96   admin (2 lockouts)
184.168.152.20  admin (2 lockouts)
85.159.64.226   admin (1 lockout)
72.167.131.8    admin (1 lockout)
88.208.252.206  admin (1 lockout)
188.121.41.155  admin (1 lockout)
188.93.144.156  admin (1 lockout)
209.236.72.14   admin (1 lockout)
182.50.130.136  admin (1 lockout)
208.113.228.27  admin (1 lockout)

Het apache log komt eigenlijk überhaupt niet overeen met het aantal geblokkeerde ip's en pogingen. Hier is het hele log:

https://dl.dropboxusercon...wordpressinside.com.log.1

Ik heb nog twee andere websites op dezelfde server die momenteel hetzelfde probleem vertonen (dezelfde 'beveiliging'):

Total lockouts Reset Counter 421 lockouts since last reset
Active lockouts Restore Lockouts 3 IP is currently blocked from trying to log in

Total lockouts Reset Counter 210 lockouts since last reset
Active lockouts Restore Lockouts 17 IP is currently blocked from trying to log in

Gezien deze aantallen in combinatie met de logfile moeten ze haast wel via een andere file/methode een login poging doen. Hoe/wat is mij een raadsel...

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 11 februari 2016 11:51

Acties:

0 Henk 'm!

scorpion-biker

edit:
zie nu je response van 11:50.
Dan gaat mijn onderstaande verhaal denk ik niet op :-)

Volgens mij ga je er vanuit dat iemand via de url gaat en eerst wp-login.php aanroept en dus geen username en wachtwoord kan opgeven.

Maar je kan ook wp-login direct met username en wachtwoord aanroepen, zoals ook in je log zichtbaar is.

Ik kan direct de url http://www.wordpressinsid...n.php?log=admin&pwd=admin opvragen en dan krijg ik wel de authorization popup, maar in je logging zal je dan als het goed is een GET op /wp-login.php?log=admin&pwd=admin zien.

Dit response op zo'n GET request krijg ik:

code:

    Status Code: 401 Unauthorized
    Accept-Ranges: bytes
    Age: 0
    Content-Encoding: gzip
    Content-Length: 311
    Content-Type: text/html
    Date: Thu, 11 Feb 2016 10:44:03 GMT
    Server: Apache/2
    Vary: Accept-Encoding,User-Agent
    Via: 1.1 localhost.localdomain
    WWW-Authenticate: Basic realm="Private access"

[ Voor 4% gewijzigd door scorpion-biker op 11-02-2016 11:54 ]

World of Trucks ~ Steam ~ CR: clan Kronenjagers (#8QGLP089)

donderdag 11 februari 2016 12:00

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Probeer het eens 3x met de user tweakers

.

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 11 februari 2016 12:01

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Wat gebeurd er wanneer je even een tijdelijke wp-login.php aan maakt (en de originele even hernoemt naar een andere naam).

Dan kan je bijvoorbeeld de volgende php maken:

PHP:

<html>
<head>
<titile>Test</title>
</head>
<body>
Test.
</body>
</html>

En dan kijken of je de e-mails nog steeds krijgt. Dan weet je in ieder geval of e-mails na of voor de apache authenticatie komt.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

donderdag 11 februari 2016 12:04

Acties:

0 Henk 'm!

scorpion-biker

sdk1985 schreef op donderdag 11 februari 2016 @ 12:00:
Probeer het eens 3x met de user tweakers .

done

World of Trucks ~ Steam ~ CR: clan Kronenjagers (#8QGLP089)

donderdag 11 februari 2016 12:06

Acties:

0 Henk 'm!

donderdraak

Je hebt niet verteld op wat voor hosting omgeving je zit, maar als je echt zorgen maakt om login pogingen van scripts dan kan je ook verdiepen in "Jails". Dit soort aanvallen zijn een dagelijks probleem voor wordpress sites (in mijn opinie). Ik hoop dat je een goed en sterk wachtwoord voor de WP omgeving hebt en soms wijzigen kan geen kwaad.

Zelf heb ik goede ervaring met WP plugin Sucuri Security (gratis), die houd vanaf front-end inzichtelijk onkruid buiten de deur en logt en kan ook rapporteren (indien je dat niet wilt dan zet je het uit).

Prevent Malware Distribution
Monitor Blacklisting Incidents
Actively Detect & Prevent Intrusions
Block Attacks
Stop DDoS Attacks
Identify SEO Spam
Block Phishing Lure Pages
Identify WHOIS Changes
Identify DNS Changes
Monitor Changes to SSL Certificates
Real Time and Zero Day Patching
Increased Website Performance

donderdag 11 februari 2016 12:13

Acties:

0 Henk 'm!

sdk1985

Topicstarter

@Wim-Bart

Goed idee. Nu gedaan.

@scorpion-biker
Thanks. Ik zie je nog niet in de banlijst staan. Ik kan zo nog even in de mysql kijken of je op de tijdelijke lijst staat.

edit: Sta je hier bij?

a:22:{s:13:"91.146.107.31";i:1455193257;s:13:"72.167.183.14";i:1455194420;s:15:"208.109.181.175";i:1455195586;s:14:"188.93.144.171";i:1455196905;s:13:"74.220.215.71";i:1455217917;s:15:"184.168.200.194";i:1455225614;s:13:"75.98.175.123";i:1455226752;s:14:"46.252.205.187";i:1455227902;s:13:"72.167.183.50";i:1455230770;s:12:"50.62.161.76";i:1455231323;s:13:"50.62.176.131";i:1455232243;s:14:"184.168.152.20";i:1455239447;s:12:"50.62.161.75";i:1455246687;s:12:"82.146.47.99";i:1455248471;s:14:"62.149.143.182";i:1455249598;s:14:"192.145.237.62";i:1455259192;s:13:"62.149.143.96";i:1455261037;s:12:"93.125.99.35";i:1455261646;s:12:"50.62.161.46";i:1455262809;s:13:"72.167.232.18";i:1455268252;s:13:"50.62.161.162";i:1455270591;s:12:"50.62.176.60";i:1455273369;}

@donderdraak
Eigen CentOS server. Websites draaien onder hun eigen username, dus niet onder "apache". Verder gebruik ik CSF: https://dl.dropboxusercontent.com/u/26141476/csf.conf.

[ Voor 52% gewijzigd door sdk1985 op 11-02-2016 12:18 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 11 februari 2016 12:15

Acties:

0 Henk 'm!

Verwijderd

Brute force login aanvallen lopen ook via xmlrpc.php.

donderdag 11 februari 2016 12:21

Acties:

0 Henk 'm!

scorpion-biker

een stukje over Bypassing HTTP Basic Authentication in PHP Applications

World of Trucks ~ Steam ~ CR: clan Kronenjagers (#8QGLP089)

donderdag 11 februari 2016 12:26

Acties:

0 Henk 'm!

donderdraak

Wat ik me trouwens af vraag is, zoals maikoool al schreef, waar komt de e-mail vandaan, komt het niet van apache zelf of nginx of wat dan ook en niet uit WP zelf.

Heb even de conf gelezen, maar zonder een grote studie van te maken. Ik ga ervanuit dat die logs hierboven komen uit WEBMIN_LOG.
Gezien je vraag hoe je van de alert-mail afkomt zou ik denken veranderen het volgende:

# • Enable login failure detection of webmin connections
#
# SECURITY NOTE: This option is affected by the RESTRICT_SYSLOG option. Read
# this file about RESTRICT_SYSLOG before enabling this option:
LF_WEBMIN = "0"
LF_WEBMIN_PERM = "1"

# Send an email alert if anyone logs in successfully using SSH
#
# SECURITY NOTE: This option is affected by the RESTRICT_SYSLOG option. Read
# this file about RESTRICT_SYSLOG before enabling this option:
LF_SSH_EMAIL_ALERT = "1"

naar

# • Enable login failure detection of webmin connections
#
# SECURITY NOTE: This option is affected by the RESTRICT_SYSLOG option. Read
# this file about RESTRICT_SYSLOG before enabling this option:
LF_WEBMIN = "0"
LF_WEBMIN_PERM = "0"

# Send an email alert if anyone logs in successfully using SSH
#
# SECURITY NOTE: This option is affected by the RESTRICT_SYSLOG option. Read
# this file about RESTRICT_SYSLOG before enabling this option:
LF_SSH_EMAIL_ALERT = "0"

donderdag 11 februari 2016 12:27

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Verwijderd schreef op donderdag 11 februari 2016 @ 12:15:
Brute force login aanvallen lopen ook via xmlrpc.php.

Hmm die staat er wel tussen, maar niet zo vaak. Ik ga hem in ieder geval even blokkeren op een andere website om te kijken of dat het oplost. Voor deze website wacht ik even het idee van Wim-Bart af anders weten we nog niks

.

donderdraak schreef op donderdag 11 februari 2016 @ 12:26:
[...]
Heb even de conf gelezen, maar zonder een grote studie van te maken. Ik ga ervanuit dat die logs hierboven komen uit WEBMIN_LOG.
Gezien je vraag hoe je van de alert-mail afkomt zou ik denken veranderen het volgende:

[...]

naar

[...]

Bedankt maar de alert mails komen van https://wordpress.org/plugins/limit-login-attempts/. Webmin gebruik ik niet.

Verdere CSF tips zijn overigens altijd welkom. Ik had eigenlijk verwacht dat zoveel pagina's zo snel na elkaar bezoeken wel als "overtreding" zou worden gezien.

[ Voor 45% gewijzigd door sdk1985 op 11-02-2016 12:29 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 11 februari 2016 12:32

Acties:

Beste antwoord ✓
0 Henk 'm!

Verwijderd

sdk1985 schreef op donderdag 11 februari 2016 @ 12:27:
[...]Hmm die staat er wel tussen, maar niet zo vaak.

Een enkele call is voldoende om een paar duizend wachtwoorden te checken:

https://blog.sucuri.net/2...nst-wordpress-xmlrpc.html

donderdag 11 februari 2016 12:32

Acties:

0 Henk 'm!

donderdraak

Heb je op CenOS ook cPanel?

donderdag 11 februari 2016 12:36

Acties:

+1 Henk 'm!

Orthodroom

Als je een eigen centos server hebt zou ik zeker ook even kijken naar fail2ban. Dan kan je na 3 pogingen gewoon het IP-adres blokkeren voor hoe lang als jij dat handig vindt.

donderdag 11 februari 2016 12:39

Acties:

0 Henk 'm!

donderdraak

fail2ban is zeker een aanrader, die heeft jails

Neem contact op met de ontwikkelaars van die plugin "limit-login-attemts", vraag hoe je die notificatie mails stop zet. Je kan ook een andere WP-plugin installeren die meer features heeft, zoals email notificaties.

donderdag 11 februari 2016 13:29

Acties:

0 Henk 'm!

WhatsappHack

LFD, onderdeel van CSF, kan hetzelfde als fail2ban.
Al vormen die automagische ban software wel een klein beveiliging risico.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

donderdag 11 februari 2016 13:29

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

Zou mezelf trouwens meer zorgen maken over:

code:

1	50.62.176.60 - - [10/Feb/2016:03:37:11 +0100] "POST /xmlrpc.php HTTP/1.1" 200 1692 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:23.0) Gecko/20100101 Firefox/23.0"

Zie er een hoop staan en is veel gevaarlijker. Sterker nog, ik denk dat daar je oorzaak zit. zoals willemjoosten al aangaf. Hierbij kan met 1 call 1 tot paar 100/1000 logins worden gedaan. En misschien is dit de trigger.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

donderdag 11 februari 2016 14:24

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Ik gebruik die remote functionaliteit helemaal niet. Ik heb die er dus maar helemaal uitgegooid nu:

code:

<Files "xmlrpc.php">
Order Allow,Deny
deny from all
</Files>

Nu is het even spannend of de pogingen inderdaad ophouden (nou ja de pogingen natuurlijk niet, maar ze beuken dan niet meer op de WordPress installatie zelf

).

WhatsappHack schreef op donderdag 11 februari 2016 @ 13:29:
LFD, onderdeel van CSF, kan hetzelfde als fail2ban.
Al vormen die automagische ban software wel een klein beveiliging risico.

Ik heb LFD inderdaad aan staan. Hij blokkeert regelmatig IP's voor pop3 login pogingen en een enkele keer een semi-ddos. Een htaccess veroorzaakte ban heb ik echter nog nooit voorbij zien komen. Misschien zit er een foutje in mijn config ergens? Voor zover ik weet staat hij op maximaal 5 pogingen nu.

[ Voor 6% gewijzigd door sdk1985 op 11-02-2016 14:28 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 11 februari 2016 15:25

Acties:

0 Henk 'm!

WhatsappHack

Ik heb LFD inderdaad aan staan. Hij blokkeert regelmatig IP's voor pop3 login pogingen en een enkele keer een semi-ddos. Een htaccess veroorzaakte ban heb ik echter nog nooit voorbij zien komen. Misschien zit er een foutje in mijn config ergens? Voor zover ik weet staat hij op maximaal 5 pogingen nu.

Nee het LF_ gedeelte ziet er prima uit. Je kan het natuurlijk altijd zelf ff testen, zolang je maar een backup mogelijkheid hebt om je server nog in te komen of even tijdelijk de ban op 2 minuten zet ipv permanent ofzo.

(Wel zorgen dat je IP dan dus niet op de whitelist/ignore staat.)
Zou wel oppassen met je PortScan limiet trouwens, die 10 hits zit je heel erg snel aan.
Rest van je config (nog) niet bekeken.

Geen quote of mention @WhatsappHack? Dan niet raar opkijken als je geen reactie krijgt. ;)

donderdag 11 februari 2016 15:55

Acties:

0 Henk 'm!

DJMaze

code:

1 2	..... Firefox/23.0" ..... Firefox/3.6"

Tja, gewoon de oude versies blokkeren?

code:

<IfModule mod_setenvif.c>
    # Block old things
    BrowserMatchNoCase "Chrome/[0-9]\." banned
    BrowserMatchNoCase "Chrome/[1-3][0-9]" banned
    BrowserMatchNoCase "Firefox/[0-9]\." banned
    BrowserMatchNoCase "Firefox/[1-3][0-9]\." banned
    BrowserMatchNoCase "^Mozilla/[0-37-9a-z]" banned
    BrowserMatchNoCase "MSIE ([02-8]|1[^0])" banned
    BrowserMatchNoCase "Opera/[7-9]" banned
    BrowserMatchNoCase "Win32" banned
    BrowserMatchNoCase "Win9x" banned
    BrowserMatchNoCase "Windows (2000|3|95|98|ce|me)" banned
    BrowserMatchNoCase "GoogleBot 1.0" banned

    # deny security
    deny from env=banned
</IfModule>

[ Voor 5% gewijzigd door DJMaze op 11-02-2016 15:59 ]

Maak je niet druk, dat doet de compressor maar

donderdag 11 februari 2016 15:59

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Verwijderd schreef op donderdag 11 februari 2016 @ 12:15:
Brute force login aanvallen lopen ook via xmlrpc.php.

De xmlrpc heb je in veel gevallen niet nodig.
Ikzelf heb deze met .htaccess gerewrite naar een 403 Error Document. Sindsdien is de rust teruggekeerd.
Heel soms nog een brute-force inlogpoging, maar ik denk dat ik die naar mijn CSF/LFD setup ga doorsluizen voor een tijdelijke ban op de hele server.

[ Voor 18% gewijzigd door AW_Bos op 11-02-2016 16:00 ]

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

donderdag 11 februari 2016 16:23

Acties:

0 Henk 'm!

SBTweaker

Serieus niemand die naar de rechten vraagt? Ik gok dat je .htpassword niet de juiste rechten heeft (bijvoorbeeld 777) en daardoor gewoon benaderbaar is.

donderdag 11 februari 2016 17:12

Acties:

0 Henk 'm!

sdk1985

Topicstarter

SBTweaker schreef op donderdag 11 februari 2016 @ 16:23:
Serieus niemand die naar de rechten vraagt? Ik gok dat je .htpassword niet de juiste rechten heeft (bijvoorbeeld 777) en daardoor gewoon benaderbaar is.

Staat op 644 en hij staat buiten public_html.

Tot heden geen nieuwe poging voorbij zien komen vanaf de WordPress kant. Ik heb de teller even gereset naar 0, dat maakt het makkelijk detecteren

. Mogelijk was het inderdaad xmlrpc.

[ Voor 22% gewijzigd door sdk1985 op 11-02-2016 17:16 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

donderdag 11 februari 2016 21:05

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

sdk1985 schreef op donderdag 11 februari 2016 @ 17:12:
[...]

Staat op 644 en hij staat buiten public_html.

Tot heden geen nieuwe poging voorbij zien komen vanaf de WordPress kant. Ik heb de teller even gereset naar 0, dat maakt het makkelijk detecteren . Mogelijk was het inderdaad xmlrpc.

Ik had al zo een vermoeden, zie op mijn Joomla het zelfde alleen proberen ze eerst naar wp-login.php te gaan, maar aangezien ik Joomla draai vinden ze dat natuurlijk niet. Lukt wp-login niet zie ik xmlrpc.php langskomen, ook dat lukt niet en daarna een hele rits joomla pogingen.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

vrijdag 12 februari 2016 15:29

Acties:

0 Henk 'm!

DJMaze

Wim-Bart schreef op donderdag 11 februari 2016 @ 21:05:
Ik had al zo een vermoeden, zie op mijn Joomla het zelfde alleen proberen ze eerst naar wp-login.php te gaan, maar aangezien ik Joomla draai vinden ze dat natuurlijk niet. Lukt wp-login niet zie ik xmlrpc.php langskomen, ook dat lukt niet en daarna een hele rits joomla pogingen.

En die werken meestal ook nog omdat niemand upgrade naar 3.4.8.
Geen wonder dat ze het proberen

Maak je niet druk, dat doet de compressor maar

vrijdag 12 februari 2016 15:39

Acties:

0 Henk 'm!

Wim-Bart

Zie signature voor een baan.

DJMaze schreef op vrijdag 12 februari 2016 @ 15:29:
[...]

En die werken meestal ook nog omdat niemand upgrade naar 3.4.8.
Geen wonder dat ze het proberen

En dat terwijl upgraden van 3.x.x naar 3.4.8 eigenlijk heel snel kan zonder dat je rekening moet houden met veel zaken.

Maar tja, aan de andere kant is het up-2-date houden van plugin's en extensies is ook niet zo eenvoudig helaas en betekend dat ook weer maandelijkse controle.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

vrijdag 12 februari 2016 20:17

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Even een update:

Total lockouts No lockouts yet

.

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

vrijdag 12 februari 2016 20:32

Acties:

+1 Henk 'm!

Verwijderd

Wordpress wordt iedere dag aangevallen, het is gewoon automated en komt van veel bots over de hele wereld af. Een security op wordpress niveau raadt ik niet aan. De database kan namelijk zo vollopen met miljoenen IP adressen over de hele wereld, en je server wordt er alleen maar trager om. Zo'n database kan met ip bans alleen al uitgroeien tot 500MB ofzo

Daarnaast doet wordpress ongelofelijk veel queries (onnodig) uitvoeren om te kijken of een IP adres wel toegang heeft. Echt het is een ongelofelijk verschrikkelijk product dat wereldwijd toch geaccepteerd is en wordt gedragen door zelfs Google als goede sitebuilder.

http://onexa.nl/nieuwsber...wp-login-php-verminderen/ > Staat een goede uitleg en howto om het aantal bruteforce aanvallen te verminderen.

Wat ik op meer dan 13 servers bij mij 'gedeployed' heb is een script dat iedere 5 seconden de apache status checked, en alles registreert dat een POST naar wp-login.php doet, en als er meer dan 5 hits genoteerd worden het IP in CSF komt te staan. Geen enkele user kan in 5 seconden 5 posts maken op een normale manier naar wp-login.php en blokkeren we op deze basis.

Het draait nu een half jaar zo en de server is ongelofelijk rustig. Ter preventie van sql aanvallen en dergelijk gebruiken we wordfence, weliswaar getweaked (niet alle opties heb ik nodig, want dat scannen is een gigantische load op je I/O, realtime traffic ook niet nodig) maar het is veilig.

Ik zou voor wordfence gaan, en de volgende opties aan / uitzetten:

LIVE TRAFFIC VIEW > uit.
Email summary > uit.
Lock out after how many login failures > 5
Lock out after how many forgot password attempts > 5
Count failures over what time period > 1 day
Amount of time a user is locked out > 60 days
Immediately lock out invalid usernames > aan
Block IP's who send POST requests with blank User-Agent and Referer > aan
How much memory should Wordfence request when scanning > 64mb

Wat je dan krijgt is SQL blokkering en een actieve monitor voor false logins. Je zal merken dat binnen een week de database zo volraakt met tientallen IP adressen. Die moet je gewoon standaard blokkeren, beter is zelfs op serverniveau, dan heb je er 'nooit' meer last van.

xmlrpc.php werd overigens misbruikt in het voeren van DDOS aanvallen, door refferers te spoofen kon je zo een andere site 'aanvallen'. Toegang moet je gewoon ontzeggen.

[ Voor 3% gewijzigd door Verwijderd op 12-02-2016 20:40 ]

donderdag 18 februari 2016 08:40

Acties:

0 Henk 'm!

jojoba007

Verwijderd schreef op vrijdag 12 februari 2016 @ 20:32:
Wordpress wordt iedere dag aangevallen, het is gewoon automated en komt van veel bots over de hele wereld af. Een security op wordpress niveau raadt ik niet aan. De database kan namelijk zo vollopen met miljoenen IP adressen over de hele wereld, en je server wordt er alleen maar trager om. Zo'n database kan met ip bans alleen al uitgroeien tot 500MB ofzo

Daarnaast doet wordpress ongelofelijk veel queries (onnodig) uitvoeren om te kijken of een IP adres wel toegang heeft. Echt het is een ongelofelijk verschrikkelijk product dat wereldwijd toch geaccepteerd is en wordt gedragen door zelfs Google als goede sitebuilder.

http://onexa.nl/nieuwsber...wp-login-php-verminderen/ > Staat een goede uitleg en howto om het aantal bruteforce aanvallen te verminderen.

Wat ik op meer dan 13 servers bij mij 'gedeployed' heb is een script dat iedere 5 seconden de apache status checked, en alles registreert dat een POST naar wp-login.php doet, en als er meer dan 5 hits genoteerd worden het IP in CSF komt te staan. Geen enkele user kan in 5 seconden 5 posts maken op een normale manier naar wp-login.php en blokkeren we op deze basis.

Het draait nu een half jaar zo en de server is ongelofelijk rustig. Ter preventie van sql aanvallen en dergelijk gebruiken we wordfence, weliswaar getweaked (niet alle opties heb ik nodig, want dat scannen is een gigantische load op je I/O, realtime traffic ook niet nodig) maar het is veilig.

Ik zou voor wordfence gaan, en de volgende opties aan / uitzetten:

LIVE TRAFFIC VIEW > uit.
Email summary > uit.
Lock out after how many login failures > 5
Lock out after how many forgot password attempts > 5
Count failures over what time period > 1 day
Amount of time a user is locked out > 60 days
Immediately lock out invalid usernames > aan
Block IP's who send POST requests with blank User-Agent and Referer > aan
How much memory should Wordfence request when scanning > 64mb

Wat je dan krijgt is SQL blokkering en een actieve monitor voor false logins. Je zal merken dat binnen een week de database zo volraakt met tientallen IP adressen. Die moet je gewoon standaard blokkeren, beter is zelfs op serverniveau, dan heb je er 'nooit' meer last van.

xmlrpc.php werd overigens misbruikt in het voeren van DDOS aanvallen, door refferers te spoofen kon je zo een andere site 'aanvallen'. Toegang moet je gewoon ontzeggen.

Bedankt voor bovenstaande tips. Ik was al een tijdje op zoek hoe wordpress beter te beveiligen.

Ik heb alleen nog een vraag. Ik heb nog niet veel kaas gegeten van het bewerken van de .htaccess file. Moet ik de genoemde codes van onexa.nl direct in het begin van de .htaccess plakken? Ik heb in mijn .htaccess namelijk op dit moment ook een doorlink staan van http naar https en wat W3 total cache codes.

donderdag 18 februari 2016 13:45

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Verwijderd schreef op vrijdag 12 februari 2016 @ 20:32:

Wat ik op meer dan 13 servers bij mij 'gedeployed' heb is een script dat iedere 5 seconden de apache status checked, en alles registreert dat een POST naar wp-login.php doet, en als er meer dan 5 hits genoteerd worden het IP in CSF komt te staan. Geen enkele user kan in 5 seconden 5 posts maken op een normale manier naar wp-login.php en blokkeren we op deze basis.

Klinkt wel handig. Misschien even het script delen?

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

vrijdag 19 februari 2016 13:56

Acties:

0 Henk 'm!

TheNephilim

Wtfuzzle

donderdraak schreef op donderdag 11 februari 2016 @ 12:06:
Je hebt niet verteld op wat voor hosting omgeving je zit, maar als je echt zorgen maakt om login pogingen van scripts dan kan je ook verdiepen in "Jails". Dit soort aanvallen zijn een dagelijks probleem voor wordpress sites (in mijn opinie). Ik hoop dat je een goed en sterk wachtwoord voor de WP omgeving hebt en soms wijzigen kan geen kwaad.

Zelf heb ik goede ervaring met WP plugin Sucuri Security (gratis), die houd vanaf front-end inzichtelijk onkruid buiten de deur en logt en kan ook rapporteren (indien je dat niet wilt dan zet je het uit).

[...]

Sucuri is inderdaad een mooie plugin om wat dingen in de gaten te kunnen houden, maar helaas doen ze (buiten de betaalde firewall) niets aan preventie. Je kunt nog wel wat hardening opties laten uitvoeren door Sucuri, maar je bent er verder niet beter door beschermd.

Wij gebruiken hier vaak https://nl.wordpress.org/plugins/wp-cerber/ om het aantal loginpogingen te beperken. Op basis van username en IP, met ook een 'globale lockout' zodat inloggen op de gehele site niet meer mogelijk is als de website het echt zwaar te verduren krijgt. Met voldoende inzicht en instelmogelijkheden maar verder erg lichtgewicht een prima plugin.

Vergeet overigens ook XMLRPC niet, daarmee kunnen ze ook je website bruteforcen. Je kunt xmlrpc.php verwijderen, of een regel in .htaccess aanmaken om toegang te voorkomen. Scheelt ook enorm in database-load in bepaalde situaties! Daarnaast kun je hem ook gewoon binnen WordPress zelf disablen; add_filter('xmlrpc_enabled', '__return_false');.

vrijdag 19 februari 2016 13:59

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Mijn websites hebben geen users, alleen wat auteurs. Dus dat zijn een handjevol mensen om in de gaten te houden. Vandaar dat htaccess voor mij een goede optie is

.

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

vrijdag 19 februari 2016 14:07

Acties:

0 Henk 'm!

Verwijderd

TheNephilim schreef op vrijdag 19 februari 2016 @ 13:56:
[...]

Sucuri is inderdaad een mooie plugin om wat dingen in de gaten te kunnen houden, maar helaas doen ze (buiten de betaalde firewall) niets aan preventie. Je kunt nog wel wat hardening opties laten uitvoeren door Sucuri, maar je bent er verder niet beter door beschermd.

Wij gebruiken hier vaak https://nl.wordpress.org/plugins/wp-cerber/ om het aantal loginpogingen te beperken. Op basis van username en IP, met ook een 'globale lockout' zodat inloggen op de gehele site niet meer mogelijk is als de website het echt zwaar te verduren krijgt. Met voldoende inzicht en instelmogelijkheden maar verder erg lichtgewicht een prima plugin.

Vergeet overigens ook XMLRPC niet, daarmee kunnen ze ook je website bruteforcen. Je kunt xmlrpc.php verwijderen, of een regel in .htaccess aanmaken om toegang te voorkomen. Scheelt ook enorm in database-load in bepaalde situaties! Daarnaast kun je hem ook gewoon binnen WordPress zelf disablen; add_filter('xmlrpc_enabled', '__return_false');.

Een plugin gebruiken om bruteforceaanvallen tegen te gaan werkt niet. Het veroorzaakt nog steeds een hoge load. Dat komt omdat wordpress onzinnig met resources omgaat.

Als zo'n geblokkeerd IP adres een bruteforce poging doet, dan wordt ie weliswaar geweigerd, maar bij iedere 'poging' checked je plugin in de database of dat IP adres toegestaan is of niet, en stuurt dan het juiste antwoord weer retour.

Die aanpak werkt niet en kan enorm hoge load op een server veroorzaken. Wordpress heeft altijd op een 'soft' manier ipv 'hard' manier gewerkt. Een blokkade per Htaccess is 100x beter en sneller dan een blokkade op wordpress niveau.

Daarnaast, als zo'n ip het lukt die geen wp-admin toegang meer heeft, je site te hacken (een bestandje te kunnen uploaden) dan omzeilt het heel je security van je plugin. Wederom, een 'soft' aanpak van wordpress wat enorm zwak is.

Ik weet niet hoor, maar bekijk de load van een server eens als er een bruteforce plaatsvind met 1 IP dat tientallen hits per seconde verstuurt. Die schiet omhoog en veroorzaakt gewoon hoge usage = tragere server.

Wil je het echt goed aanpakken, zoek dan een plugin dat toegang ontzegd aan de hand van htaccess. Volgens mij was dat bulletproof security, ik weet het niet zeker, en je moet even door de settings heenbladeren om een idee te krijgen van hoe het werkt.

Zet ook niet alles aan, het belangrijkste is het ontzeggen (bannen) van ip adressen met valse logins, en het ongeoorloofd uitvoeren van SQL injects of uploaden van bestanden (php, img die executable zijn etc).

Als je die twee kunt combineren ben je al heel ver. Ohw ja en vergeet askimet niet voor de 'spam' comments.

vrijdag 19 februari 2016 14:12

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Heb je weleens gekeken hoe groot je database van Askimet wordt?

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

vrijdag 19 februari 2016 14:16

Acties:

0 Henk 'm!

Verwijderd

sdk1985 schreef op vrijdag 19 februari 2016 @ 14:12:
Heb je weleens gekeken hoe groot je database van Askimet wordt?

Je moet de optie ook aanvinken "Silently discard unwanted comments" die je vind onder instellingen.

vrijdag 19 februari 2016 14:54

Acties:

0 Henk 'm!

TheNephilim

Wtfuzzle

Verwijderd schreef op vrijdag 19 februari 2016 @ 14:07:
[...]

Een plugin gebruiken om bruteforceaanvallen tegen te gaan werkt niet. Het veroorzaakt nog steeds een hoge load. Dat komt omdat wordpress onzinnig met resources omgaat.

Als zo'n geblokkeerd IP adres een bruteforce poging doet, dan wordt ie weliswaar geweigerd, maar bij iedere 'poging' checked je plugin in de database of dat IP adres toegestaan is of niet, en stuurt dan het juiste antwoord weer retour.

Die aanpak werkt niet en kan enorm hoge load op een server veroorzaken. Wordpress heeft altijd op een 'soft' manier ipv 'hard' manier gewerkt. Een blokkade per Htaccess is 100x beter en sneller dan een blokkade op wordpress niveau.

Ik weet niet hoor, maar bekijk de load van een server eens als er een bruteforce plaatsvind met 1 IP dat tientallen hits per seconde verstuurt. Die schiet omhoog en veroorzaakt gewoon hoge usage = tragere server.

Wil je het echt goed aanpakken, zoek dan een plugin dat toegang ontzegd aan de hand van htaccess. Volgens mij was dat bulletproof security, ik weet het niet zeker, en je moet even door de settings heenbladeren om een idee te krijgen van hoe het werkt.

Als je die twee kunt combineren ben je al heel ver. Ohw ja en vergeet askimet niet voor de 'spam' comments.

Daar is deze plugin op voorbereid: "Write failed attempts to the syslog or custom log file for using with fail2ban."

---

Daarnaast, als zo'n ip het lukt die geen wp-admin toegang meer heeft, je site te hacken (een bestandje te kunnen uploaden) dan omzeilt het heel je security van je plugin. Wederom, een 'soft' aanpak van wordpress wat enorm zwak is.

Zet ook niet alles aan, het belangrijkste is het ontzeggen (bannen) van ip adressen met valse logins, en het ongeoorloofd uitvoeren van SQL injects of uploaden van bestanden (php, img die executable zijn etc).

Ja dat heb je allemaal goed gezegd, maar je kunt niet zomaar een bestandje uploaden. Je statement raakt kant nog wal als het gaat om een plugin voor het verhogen van de beveiliging. Evenals het uitvoeren van SQL injects, dat doe je niet zomaar. Dan zit er óf een lek in je code, anders wel een lek in een plugin of WordPress zelf. Beide problemen; zowel je "valse logins" als de "SQL injects" ga je niet met alleen een .htaccess bestandje oplossen hoor.

vrijdag 19 februari 2016 15:15

Acties:

0 Henk 'm!

Verwijderd

Je snapt mijn punt niet. Als een plugin mij toegang ontzegt tot een website en er staat een template of plugin op de website in gebruik die lek is, dan kan ik daar letterlijk inbreken zonder dat je plugin iets kan doen. Ik bypass gewoon je security-plugin en heb toegang tot zo'n beetje alles op je hostingpakket. Dus database en dergelijk, kan mezelf whitelisten, een nieuwe admin aanmaken en dergelijk ...

Zo'n plugin blokkeert op soft-basis, en niet hard-basis zoals dat met htaccess of apache-niveau zou zijn.

[ Voor 22% gewijzigd door Verwijderd op 19-02-2016 15:16 ]

vrijdag 19 februari 2016 15:26

Acties:

0 Henk 'm!

TheNephilim

Wtfuzzle

Verwijderd schreef op vrijdag 19 februari 2016 @ 15:15:
Je snapt mijn punt niet. Als een plugin mij toegang ontzegt tot een website en er staat een template of plugin op de website in gebruik die lek is, dan kan ik daar letterlijk inbreken zonder dat je plugin iets kan doen. Ik bypass gewoon je security-plugin en heb toegang tot zo'n beetje alles op je hostingpakket. Dus database en dergelijk, kan mezelf whitelisten, een nieuwe admin aanmaken en dergelijk ...

Zo'n plugin blokkeert op soft-basis, en niet hard-basis zoals dat met htaccess of apache-niveau zou zijn.

A) Deze discussie gaat over login pogingen, niet over lekke scripts. Ja dat is ook een onderdeel van beveiliging; als je praat over beveiliging, maar wel even van een ander slag. Als je namelijk goed werk levert en er geen lekken zitten in je scripts, dan kun je nog gehacked worden doordat iemand een bruteforce attack uitvoert en inlogt met jou admin account. Liever een slome website, dan een gehacked account. Of niet?

Je kunt .htaccess'en toevoegen wat je wilt, maar je gaat daarmee geen SQL injects voorkomen, of een andere (onbekend) lek dichten in je scripts. Om te bepalen dat iemand meer dan 5 inlogpogingen heeft gedaan in de afgelopen x minuten, kun je prima een plugin gebruiken. Een .htaccess bestandje zal niet kunnen controleren dat een username/wachtwoord combinatie voor een WordPress account wel of niet klopt. Dat kan die plugin wel, die vervolgens een fail2ban bestandje kan wegschrijven om je IP te blokkeren in de firewall. Prima oplossing voor dit probleem; de bruteforce inlogpogingen en eventueel daarbij behorende slome website.

C) Stel nou dat je wat meer wil doen (met htaccess), dan zul je wat betreft WordPress misschien /wp-admin/ whitelisten voor je eigen IP en andere IP's helemaal geen toegang geven, dat kan. Maar misschien is dat niet voor iedereen zo handig. Jij zult er mee overweg kunnen, maar ik heb klanten en die kunnen dat niet (dynamic IP/thuis/werk/overal inloggen).

D) Inderdaad, als je /phpmyadmin gewoon openbaar te bezoeken is en voorzien is van een root user en 123456 password, ja dan heeft die plugin geen enkele zin. Beveiliging van je website is net zo sterk als de zwakste schakel natuurlijk!

zondag 21 februari 2016 10:13

Acties:

0 Henk 'm!

Verwijderd

Maar dat is het probleem van Wordpress en de gehele community die plugins schrijft erachter. Je kunt vanaf een PHP basis je eigen plugin schrijven, en dat kan meegeladen worden als script zijnde op wordpress zelf. Je kent de code niet, en ik denk ook niet dat je de tijd neemt de code uberhaubt te reviewen nog voordat je het in je website laadt.

Mijn punt was, zodra een hacker het lukt om een PHP bestandje te kunnen uploaden (Denk aan een shell), dan stelt die beveiliging van wordpress en welk andere plugin ook niets meer voor. Ze bypassen gewoon je security en planten zelf bestanden op je host. Met zo'n shell zit vaak een file-manager inbegrepen en kan men snel de database gegevens eruit vissen om zichzelf als tweede admin toe te wijzen.

Zelfs een theme kan een flaw hebben, denk bijv aan populaire & commercieele themeforest. Die was ook lek, en kon men door middel van een stuk script wat met die theme meekwam gewoon een php bestandje op je host uploaden.

Mijn mening op een veilige wordpress site is als volgt:

- Up to date houden
- Verwijder plugins / themes die je NIET gebruikt (fysiek)
- Installeer wordfence, configureer naar wens
- Draai wat scriptwerk mee op serverniveau dat controleert op bruteforce aanvallen

Dat laatste kan alleen als je natuurlijk root toegang hebt tot je server, en geldt niet voor een shared host.

Let wel dat wordfence ideaal is qua malware scannen, maar een enorme impact op je IO kan hebben. Meestal is 1x scannen voldoende, automatische scans zet je uit tenzij je redenen daar toe hebt. Ook live view uitschakelen, en het te gebruiken geheugen (max 64MB) toewijzen.

DIt is vanuit mijn ervaring de best setting, waarbij je security + low load op zowel CPU als IO behoudt. Elke server wil je de load zo laag mogelijk houden = snelheid.

Wat ik vooral vaak heb gezien dat wanneer 1 wordpress site gehacked is en onder 1 user met meerdere wordpress sites staat, de rest ook binnen no-time gehacked is. Je kunt sites met wordfence prima 'deinfecteren' door de bestanden met repository-files te vervangen, of gewoon een local recente wordpress zip te bewaren en deze te uploaden (m.u.v themes die erin zitten). Zo loop je plugin na plugin na of deze schoon zijn, veranderder wachtwoorden en klaar.

Mijn manier van aanpak heeft gezorgd voor vele hackvrije wordpress sites van klanten van mij, responsief en vooral geen gezeik. En als er dan iets gebeurd (zoals een aanval of er wordt iets geupload) dan ben ik daar heel snel bij.

zaterdag 17 september 2016 09:17

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Even een schopje: Inmiddels wordt ik al de hele nacht bestookt met notificaties met bruteforce-meldingen onder mijn username. Hoe vinden ze die? Overal op Wordpress staat mijn volledige voornaam als schermnaam?

Ze bruteforcen ongetwijfeld via wp-admin.php (xmlrpc staat in .htaccess uit) en worden na 5 pogingen gebanned voor 30 min. En na 31 minuten is het weer een ander ip die staat bruteforcen

.

Heeft het veel nut om een .htaccess auth op wp-login.php te zetten, of beperk ik de frontend daar mogelijk mee?

En de logs:

code:

36.73.136.146 - - [17/Sep/2016:09:34:15 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
36.73.136.146 - - [17/Sep/2016:09:34:16 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
36.73.136.146 - - [17/Sep/2016:09:34:16 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
36.73.136.146 - - [17/Sep/2016:09:34:17 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
36.73.136.146 - - [17/Sep/2016:09:34:18 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:24 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:24 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:25 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:26 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:27 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:56 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:56 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:56 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:57 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:57 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:12 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:12 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:13 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:14 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:14 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
188.241.232.215 - - [17/Sep/2016:09:35:53 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:47 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:47 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:47 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:48 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:48 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"

Juist, een botnet dus. Die xmlrpc.php geeft bewust een 403

Edit: Useragent met oude Firefox maar even op de banlijst gegooid voor nu.

[ Voor 83% gewijzigd door AW_Bos op 17-09-2016 09:52 ]

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

zaterdag 17 september 2016 12:03

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

AW_Bos schreef op zaterdag 17 september 2016 @ 09:17:
Even een schopje: Inmiddels wordt ik al de hele nacht bestookt met notificaties met bruteforce-meldingen onder mijn username. Hoe vinden ze die? Overal op Wordpress staat mijn volledige voornaam als schermnaam?

Ze bruteforcen ongetwijfeld via wp-admin.php (xmlrpc staat in .htaccess uit) en worden na 5 pogingen gebanned voor 30 min. En na 31 minuten is het weer een ander ip die staat bruteforcen

.

Heeft het veel nut om een .htaccess auth op wp-login.php te zetten, of beperk ik de frontend daar mogelijk mee?

En de logs:

code:

36.73.136.146 - - [17/Sep/2016:09:34:15 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
36.73.136.146 - - [17/Sep/2016:09:34:16 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
36.73.136.146 - - [17/Sep/2016:09:34:16 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
36.73.136.146 - - [17/Sep/2016:09:34:17 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
36.73.136.146 - - [17/Sep/2016:09:34:18 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:24 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:24 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:25 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:26 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
112.200.222.78 - - [17/Sep/2016:09:34:27 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:56 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:56 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:56 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:57 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
80.242.33.35 - - [17/Sep/2016:09:34:57 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:12 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:12 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:13 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:14 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
115.134.61.99 - - [17/Sep/2016:09:35:14 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
188.241.232.215 - - [17/Sep/2016:09:35:53 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:47 +0200] "POST /xmlrpc.php HTTP/1.1" 403 213 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:47 +0200] "GET /wp-login.php HTTP/1.1" 200 3031 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:47 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:48 +0200] "GET /wp-login.php HTTP/1.1" 200 3032 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
91.68.171.221 - - [17/Sep/2016:09:37:48 +0200] "POST /wp-login.php HTTP/1.1" 403 2057 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"

Juist, een botnet dus. Die xmlrpc.php geeft bewust een 403

Edit: Useragent met oude Firefox maar even op de banlijst gegooid voor nu.

Je zou eens kunnen kijken naar fail2ban. Die houdt logs (o.a. van Apache) in de gaten en kan automatisch IP-adressen bannen bij mislukte inlogpogingen.

Gewoon een heel grote verzameling snoertjes

zaterdag 17 september 2016 12:20

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

Ik zou zeggen, pak CSF en mod_security en configureer die twee goed. Dan pik je die brute-force aanvallen er zo tussenuit, zéker als ze zo obvious zijn.

Zelf host ik websites en op die manier hebben mijn klanten amper last van aanvallen

Het is puur de configuratie die aardig wat tijd kost om te finetunen.

zaterdag 17 september 2016 13:50

Acties:

0 Henk 'm!

Verwijderd

Laatste weken zijn er enorm veel aanvallen (bruteforce pogingen) op wordpress gaande. De meeste IP's worden gelijk afgevangen door de server zelf, maar mensen achter dat botnet worden ook slimmer tegenwoordig. Passen de manier van bruteforce aan, gebruiken 'gecombineerd' botnets dus niet eerst 1 ip adres verbruiken en dan naar de volgende etc maar alles gemixed door elkaar heen.

Er staan hele goede uitlegs over op https://bjornjohansen.no/using-fail2ban-with-wordpress ter voorbeeld, maar dan moet je wel toegang tot SSH en met name root hebben. Als je shared hosting hebt (wat vaak voorkomt) dan heb je dat niet natuurlijk en kan je dat ook niet installeren.

Waar ik zelf goede ervaringen mee heb is wordfence. Merendeels voor de mogelijkheid malware scanning enz. En die werkt enorm goed eerlijk gezegd !

Als je gewoon een site hebt zonder reacties, zonder webshop, dan kan je vaak de meest aggresieve instellingen invoeren. Zet meldingen zoals een IP block natuurlijk wel uit, als er een aanval plaatsvind dan kan je zo 1000 mails in een kleine 10 minuten tijd ontvangen.

zaterdag 17 september 2016 16:09

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Ventieldopje schreef op zaterdag 17 september 2016 @ 12:20:
Ik zou zeggen, pak CSF en mod_security en configureer die twee goed. Dan pik je die brute-force aanvallen er zo tussenuit, zéker als ze zo obvious zijn.

Zelf host ik websites en op die manier hebben mijn klanten amper last van aanvallen Het is puur de configuratie die aardig wat tijd kost om te finetunen.

Ik draai CSF, en ga eens kijken hoe ik die de spammers de neknom kan laten draaien.

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

zaterdag 17 september 2016 16:11

Acties:

+1 Henk 'm!

sdk1985

Topicstarter

Ventieldopje schreef op zaterdag 17 september 2016 @ 12:20:
Ik zou zeggen, pak CSF en mod_security en configureer die twee goed. Dan pik je die brute-force aanvallen er zo tussenuit, zéker als ze zo obvious zijn.

Zelf host ik websites en op die manier hebben mijn klanten amper last van aanvallen Het is puur de configuratie die aardig wat tijd kost om te finetunen.

Misschien is het leuk om wat concrete voorbeelden te geven van configs?

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

zaterdag 17 september 2016 16:25

Acties:

+1 Henk 'm!

Verwijderd

CSF alleen doet het 'm niet. Je moet CSF laten communiceren met Fail2ban. Pas dan "werkt" het.

Ik heb een zelf geschreven script actief, dat Apache status iedere 5 seconden uitleest, IP adressen noteert voor een paar minuten die een POST naar Wp-admin, wp-login.php of wp admin-ajax.php maken, en bij 5 tal hits een CSF permban verkoopt.

Het houdt dus standaard elke poging van bruteforce tegen, en het enige dat nodig is is een cron onder root voor de duur van 5 seconden. Brengt 0 load met zich mee, en werkt perfect. In het kort gewoon noteren hoevaak 1 ip een POST maakt naar 1 van de genoemde bestanden, en bannen bij trigger.

CSF bans staat voor meer dan 8000 IP adressen voor wordpress attacks alleen al. Ik heb dat aantal op 15.000 limiet staan, dus het kan nog wel even door zo.

[ Voor 7% gewijzigd door Verwijderd op 17-09-2016 16:25 ]

zaterdag 17 september 2016 18:12

Acties:

0 Henk 'm!

Ventieldopje

I'm not your pal, mate!

sdk1985 schreef op zaterdag 17 september 2016 @ 16:11:
[...]

Misschien is het leuk om wat concrete voorbeelden te geven van configs?

Hier bijvoorbeeld: https://smyl.es/how-to-bl...nd-configserver-firewall/

Fail2ban is ook een goeie optie maar heeft verder geen integratie met control panels en is afaik niet per domein/account te configureren. Met mod_security heb je die flexibiliteit wel en kun je bepaalde rules (of alles) uitschakelen / aanpassen per account/domein/map/whatever

[ Voor 29% gewijzigd door Ventieldopje op 17-09-2016 18:13 ]

zaterdag 17 september 2016 20:54

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Persoonlijk ben ik ondertussen redelijk te spreken over LFD (valt onder CSF, doet ook intrusion detection). DirectAdmin heeft tegenwoordig ook een soort WordPress bruteforce monitor ingebouwd.

[ Voor 45% gewijzigd door sdk1985 op 17-09-2016 20:59 ]

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

zondag 18 september 2016 11:30

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

In DirectAdmin zit een algehele Bruteforce-monitor. Misschien moet ik eens kijken of deze samenwerkt met CSF/LFD en dan Wordpress detectie erop aanzetten. In één van de laatsten builds zit deze mogelijkheid er zelfs in. Maar tegen een botnet doe je niks ermee. Je blijft er IP's mee bannen tot je een ons weegt.
Zolang ze niet met honderden tegelijkertijd binnenvallen is er niks aan de hand. Nu lijkt het een beetje af te nemen, eindelijk.

Wel raar dat ze gewoon doorgaan met proberen, terwijl hun verouderde useragent op de blocklijst staat, en ze op een 403 stuitten. Waarom stoppen die botjes dan gewoon niet.

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

zondag 18 september 2016 11:37

Acties:

0 Henk 'm!

Verwijderd

Die bruteforce-monitor werkt alleen op SSH, Imap en dat soort dingen volgens mij. Geen "soft" posts naar wordpress algemeen.

Een standaard wordpress installatie blokkeert geen bruteforce. Ik denk dat de scripts ook van die bots slecht geschreven is 'geen' 404 / 403 te herkennen ofzo.

zondag 18 september 2016 15:00

Acties:

0 Henk 'm!

sdk1985

Topicstarter

AW_Bos schreef op zondag 18 september 2016 @ 11:30:
In DirectAdmin zit een algehele Bruteforce-monitor. Misschien moet ik eens kijken of deze samenwerkt met CSF/LFD en dan Wordpress detectie erop aanzetten. In één van de laatsten builds zit deze mogelijkheid er zelfs in. Maar tegen een botnet doe je niks ermee. Je blijft er IP's mee bannen tot je een ons weegt.
Zolang ze niet met honderden tegelijkertijd binnenvallen is er niks aan de hand. Nu lijkt het een beetje af te nemen, eindelijk.

Wel raar dat ze gewoon doorgaan met proberen, terwijl hun verouderde useragent op de blocklijst staat, en ze op een 403 stuitten. Waarom stoppen die botjes dan gewoon niet.

Ja dat kan, er is een officiele tutorial om de DirectAdmin brute forcemonitor te koppelen aan CSF/LFD. Heb 5 minuten voor je gezocht maar kwam hem niet meer tegen. Als je hem tegenkomt, post je hem dan nog even voor 'future reference'?

In CSF zelf zit connection tracking met een suboptie die botnets (across ip oid) min of meer herkent. Echter ik heb wel een nadeel van connection tracking ondervonden; als je bestanden gaat uploaden naar FTP met een SSD dan ben je ook in overtreding

.

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

zondag 18 september 2016 15:05

Acties:

0 Henk 'm!

Rubén89

AW_Bos schreef op zondag 18 september 2016 @ 11:30:
In DirectAdmin zit een algehele Bruteforce-monitor. Misschien moet ik eens kijken of deze samenwerkt met CSF/LFD en dan Wordpress detectie erop aanzetten. In één van de laatsten builds zit deze mogelijkheid er zelfs in. Maar tegen een botnet doe je niks ermee. Je blijft er IP's mee bannen tot je een ons weegt.
Zolang ze niet met honderden tegelijkertijd binnenvallen is er niks aan de hand. Nu lijkt het een beetje af te nemen, eindelijk.

Wel raar dat ze gewoon doorgaan met proberen, terwijl hun verouderde useragent op de blocklijst staat, en ze op een 403 stuitten. Waarom stoppen die botjes dan gewoon niet.

Wat je kunt doen is in je .htaccess een ipadressen of ranges voor wp-login.php whitelisten en de rest blokken dan ben je van het probleem af.

zondag 18 september 2016 15:08

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Rubén89 schreef op zondag 18 september 2016 @ 15:05:
[...]

Wat je kunt doen is in je .htaccess een ipadressen of ranges voor wp-login.php whitelisten en de rest blokken dan ben je van het probleem af.

Geprobeerd maar erg onhandig wanneer je een keer via mobiel wil kijken (steeds ander ip).

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

zondag 18 september 2016 15:21

Acties:

0 Henk 'm!

Verwijderd

Rubén89 schreef op zondag 18 september 2016 @ 15:05:
[...]

Wat je kunt doen is in je .htaccess een ipadressen of ranges voor wp-login.php whitelisten en de rest blokken dan ben je van het probleem af.

Post dan de htaccess code

code:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
#RewriteCond %{REQUEST_URI} ^(.*)xmlrpc\.php(.*$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.121$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.122$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

Waarbij 123.123.123.123 jouw IP adres is, en waarbij # (uitgeschakeld, optioneel) XMLRPC uitgeschakeld wordt.

Maar zet eventueel error logs uit, want zulke aanvallen met een blokkade kan behoorlijk wat log file's iedere maand aanmaken.

Wp-admin beveiligen met een htaccess is soms ook niet wenselijk. Wordfence gebruikt bepaalde includes vanuit Wp-admin, dus je bezoekers worden gepresenteerd met een login popup. Je moet werken met satisfy, zie ook http://top-frog.com/2009/...ut-handy-htaccess-tricks/

Mijn mening hierop een site dat je zelf beheerd en niet echt interactief is voor bezoekers (zoals webshop) kan je prima op deze manier dichttimmeren.

[ Voor 4% gewijzigd door Verwijderd op 18-09-2016 15:22 ]

zondag 18 september 2016 15:34

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

sdk1985 schreef op zondag 18 september 2016 @ 15:00:
[...]

Ja dat kan, er is een officiele tutorial om de DirectAdmin brute forcemonitor te koppelen aan CSF/LFD. Heb 5 minuten voor je gezocht maar kwam hem niet meer tegen. Als je hem tegenkomt, post je hem dan nog even voor 'future reference'?

In CSF zelf zit connection tracking met een suboptie die botnets (across ip oid) min of meer herkent. Echter ik heb wel een nadeel van connection tracking ondervonden; als je bestanden gaat uploaden naar FTP met een SSD dan ben je ook in overtreding .

Je bedoelt vast geen Solid State Disk

?

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

zondag 18 september 2016 15:42

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Verwijderd schreef op zondag 18 september 2016 @ 15:21:
[...]

Post dan de htaccess code
code:
1
2
3
4
5
6
7
8
9
10
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
#RewriteCond %{REQUEST_URI} ^(.*)xmlrpc\.php(.*$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.121$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.122$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>
Waarbij 123.123.123.123 jouw IP adres is, en waarbij # (uitgeschakeld, optioneel) XMLRPC uitgeschakeld wordt.

Maar zet eventueel error logs uit, want zulke aanvallen met een blokkade kan behoorlijk wat log file's iedere maand aanmaken.

Wp-admin beveiligen met een htaccess is soms ook niet wenselijk. Wordfence gebruikt bepaalde includes vanuit Wp-admin, dus je bezoekers worden gepresenteerd met een login popup. Je moet werken met satisfy, zie ook http://top-frog.com/2009/...ut-handy-htaccess-tricks/

Mijn mening hierop een site dat je zelf beheerd en niet echt interactief is voor bezoekers (zoals webshop) kan je prima op deze manier dichttimmeren.

Die OR wpadmin lijkt me problematisch? Veel themes gebruiken ajax en WordPress draait ajax vanuit wp-admin (daarom kun je wp-admin ook geen password geven).

AW_Bos schreef op zondag 18 september 2016 @ 15:34:
[...]

Je bedoelt vast geen Solid State Disk ?

Solid State Drive inderdaad. Daarmee haal je duizenden files per minuut, standaard van filezilla is iets van 6 conneties tegelijk.

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

zondag 18 september 2016 17:21

Acties:

0 Henk 'm!

Verwijderd

Je kunt een satisfy all opgeven en toch je wp-admin beveiligen met een wachtwoord.

Een clean versie van wordpress maakt geen gebruik van wp-ajax (frontend).

vrijdag 23 september 2016 20:23

Acties:

0 Henk 'm!

Oid

Misschien een gekke vraag maar is er geen Google Authenticator oid voor wordpress? xmlrpc zet iedereen al uit tenzij echt noodzakelijk. Is het geen idee bij wordpress een future request in te dienen om xmlrpc standaard uit te zetten en aanzetten indien noodzakelijk?

Leuk om te zien hoe de community elkaar tips geeft om wordpress optimaal te beveiligen! Ga er ook eens naar kijken.

vrijdag 23 september 2016 20:51

Acties:

0 Henk 'm!

sdk1985

Topicstarter

Verwijderd schreef op zondag 18 september 2016 @ 17:21:
Je kunt een satisfy all opgeven en toch je wp-admin beveiligen met een wachtwoord.

Een clean versie van wordpress maakt geen gebruik van wp-ajax (frontend).

Wat doet satisfy all precies? Ben er niet bekend mee.

Via google kwam ik wel een snippet tegen

code:

# Allow access to wp-admin/admin-ajax.php
<Files admin-ajax.php>
    Order allow,deny
    Allow from all
    Satisfy any
</Files>

Maar goed ik heb het zelf dus destijds andersom opgelost door alleen authenticatie toe te passen op wp-login.php en de gevreesde xmlrp.

Hostdeko webhosting: Sneller dan de concurrentie, CO2 neutraal en klantgericht.

Vraag

Beste antwoord (via sdk1985 op 12-02-2016 20:18)

Alle reacties