Schon seit Tagen gibt es immer wieder Wellen von Angriffen auf den WordPress-Teil des Webservers. Die erste derartige Welle rollte schon mal vor einigen Monaten über mich und viele andere Blogs hinweg. Diesmal scheint es aber noch einmal deutlich intensiver zu sein. Ständig habe ich Einträge im Log, die zeigen, dass sich bei mir jemand einloggen wollte: … „GET /wp-login.php HTTP/1.0“ 200 3155 …. Zum Glück ist das die falsche URL, um sich tatsächlich im Blog einzuloggen. Um die Bots etwas „zu beruhigen“, hatte ich damals unter dieser URL ja schon eine statische Datei abgelegt und außerdem hatte ich auch einen Script gebastelt, der alle IP-Adressen für drei Tage sperrt, von denen diese Anfragen kamen. Inzwischen nimmt es aber doch schon etwas überhand:
# /sbin/iptables -nL bloedmaenner Chain bloedmaenner (1 references) target prot opt source destination my_drop all -- 176.31.203.236 0.0.0.0/0 my_drop all -- 77.87.193.253 0.0.0.0/0 my_drop all -- 85.125.81.61 0.0.0.0/0 ... my_drop all -- 199.15.234.218 0.0.0.0/0 my_drop all -- 216.151.139.197 0.0.0.0/0 RETURN all -- 0.0.0.0/0 0.0.0.0/0 # /sbin/iptables -nL bloedmaenner | sort | wc -l 267 # |
siehe auch Artikel zur „ersten Welle“:
- http://www.heise.de/security/meldung/Botnet-attackiert-Wordpress-Installationen-weltweit-1841419.html
- http://t3n.de/news/massive-angriffswelle-457424/
- http://www.golem.de/news/security-angriff-gegen-admin-konten-von-wordpress-seiten-1304-98730.html
Vor einer Woche hatte ich den (falschen) wp-login.php-Script mal so erweitert, dass er die Usernamen mitloggt – und siehe da, wirklich Mühe haben die Script-Kids sich nicht gegeben. Keiner der Namen ist hier ein bekannter User: ;)
86 Username:
8 Username:adm
407 Username:admin
10 Username:Admin
26 Username:administrator |
Hinterlasse einen Kommentar