Admin gesucht?

RheinbrückeSchon seit Tagen gibt es immer wieder Wellen von Angriffen auf den WordPress-Teil des Webservers. Die erste derartige Welle rollte schon mal vor einigen Monaten über mich und viele andere Blogs hinweg. Diesmal scheint es aber noch einmal deutlich intensiver zu sein. Ständig habe ich Einträge im Log, die zeigen, dass sich bei mir jemand einloggen wollte: … „GET /wp-login.php HTTP/1.0“ 200 3155 …. Zum Glück ist das die falsche URL, um sich tatsächlich im Blog einzuloggen. Um die Bots etwas „zu beruhigen“, hatte ich damals unter dieser URL ja schon eine statische Datei abgelegt und außerdem hatte ich auch einen Script gebastelt, der alle IP-Adressen für drei Tage sperrt, von denen diese Anfragen kamen. Inzwischen nimmt es aber doch schon etwas überhand:

# /sbin/iptables -nL bloedmaenner
Chain bloedmaenner (1 references)
target     prot opt source               destination         
my_drop    all  --  176.31.203.236       0.0.0.0/0           
my_drop    all  --  77.87.193.253        0.0.0.0/0           
my_drop    all  --  85.125.81.61         0.0.0.0/0
...
my_drop    all  --  199.15.234.218       0.0.0.0/0           
my_drop    all  --  216.151.139.197      0.0.0.0/0           
RETURN     all  --  0.0.0.0/0            0.0.0.0/0
# /sbin/iptables -nL bloedmaenner | sort | wc -l
267
#

Rhein-Brückesiehe auch Artikel zur „ersten Welle“:

  • http://www.heise.de/security/meldung/Botnet-attackiert-Wordpress-Installationen-weltweit-1841419.html
  • http://t3n.de/news/massive-angriffswelle-457424/
  • http://www.golem.de/news/security-angriff-gegen-admin-konten-von-wordpress-seiten-1304-98730.html

Vor einer Woche hatte ich den (falschen) wp-login.php-Script mal so erweitert, dass er die Usernamen mitloggt – und siehe da, wirklich Mühe haben die Script-Kids sich nicht gegeben. Keiner der Namen ist hier ein bekannter User: ;)

     86 Username:
      8 Username:adm
    407 Username:admin
     10 Username:Admin
     26 Username:administrator
Gelesen: 499 · heute: 2 · zuletzt: Wed 13.February 2019

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.