Napad na blog...

Mirno nedeljno popodne koje sam želeo da iskoristim za odmor i gledanje live prenosa Linux Action Show epizode 342 uzdrmao je prvi napad na ovaj blog!

 

pocetak_16hPočeo je tačno u 16h (po našem vremenu) sa IP adrese koja je iz Španskog opsega. Zbog višestrukih pristupa u sekundi detektovao sam ga u prvoj minuti. Blokirao sam pristup te IP adrese i sačekao malo pa joj dozvolio da pokušava još malo, a zatim sam blokirao ceo adresni opseg u kom se napadač nalazi.

 

404_1Na ovoj slici vidi sa da sam napadača blokirao posle samo 108 hit-ova u pogrešnu metu.

404_16-48block_16-49Kada sam ga na kratko odblokirao, broj promašaja je porastao. Gornje slike prikazuju da je u 16:50 bilo 291 404 error-a i 1529 blokiranih promašaja.

 

Kao što vidite i sami, napadač pokušava da pristupi stranici http://mihajlo-stefanovic.com/-/-/-/-/-/-/-/-/-/-/

Ako se pitate šta je ta stranica, objasniću. To je preusmerenje koji kreira WordPress plugin rename-wp-login kada neko pokuša da otvori stranicu http://mihajlo-stefanovic.com/wp-login.php što je default-na login stranica WordPress-a.

Ona treba jasno da pokaže napadaču da "cima pogrešnu kvaku", odnosno da je login stranica promenjena i da zbog toga server stalno daje 404.

 

rename-wp-loginOvaj plugin je bukvalno MUST HAVE za svakoga ko održava WP blog! Obavezno ga instalirajte. Kada to uradite, u podešavanju vaših Permalinks-a pojaviće se odeljak kao sa slike. Tu ćete zameniti login url vašeg WP bloga nasumičnim skupom karaktera (Ne pokušavajte link sa slike, napravio sam ga samo radi screenshot-a!). Verovatnoća da neko (prvenstveno mislim na botnet-ove) potrefi ovakav link je praktično ravna nuli.

 

blocked_17-27 blocked_18-13 blocked_18-38Napadač, u suštini bot, nastavio je da pokušava da pristupi login stranici. Jedno vreme sam pratio šta se dešava pa se vidi porast blokiranih pokušaja (oko 17:30 - 3273, oko 18:15 - 5485, a oko 18:40 - 6729), ali sam prestao kada je u 19h krenula emisija u kojoj je najavljeno gostovanje Lennart Poettering-a. Na kraju se ispostavilo da je pušten snimak intervjua, ali nije bitno. 😉

 

statistika1Tada sam napravio i snapshot stranice sa statistikom svog sajta na kom se vidi broj zahteva za nepostojećim stranicama, i da su svi usmereni na wp-login.php.

 

USA_attackIpak, moj mir nije dugo trajao. Oko 19:40 počeo je udar sa druge IP adrese, koja pripada američkom opsegu.

 

404s_us_spaBlokirao sam i čitav taj opseg posle minimalnog vremena.

 

20-08-prestalo_sa_spanskogNapad sa predhodne adrese (španske) je prestao, a kada se saberu blokirani pokušaji i 404 error-i dobije se zbir približan cifri 10.000. Zaključio sam da je bot podešen da proba nekih 10.000 puta a da zatim promeni IP adresu sa koje napada.

 

blocked_21-03 blocked_23-08Broj blokiranih pristupa je konstantno rastao, u 21h ih je bilo 2917, a u 23h cifra je bila blizu 10.000 (9327 + 142).

 

statistika2Evo i statistike sajta. Sve je po istom šablonu.

 


Smatrao sam da će bot prekinuti napade ili promeniti IP adresu ali to se nije desilo ni kada je broj blokiranih "poseta" prebacio deset hiljada, pa sam oko 23:30 otišao na spavanje.


 

prestaloSutradan ujutro sam video da je napad u toku noći obustavljen u potpunosti (negde oko 1h posle ponoći, po našem vremenu).

 

grep_napadSkinuo sam jedan  access_log fajl sa hosting servera i grep-ovao linije u kojima je ona španska ip adresa. Komanda je:
grep "93.189.88.92" access_log > napad.txt

Možete skinuti fajl ako vas interesuje. Tu je nešto više od 6700 linija loga - sve same 404 (Not Found) poruke, jer stranica ne postoji kao i 503 (Service Unavailable) poruke jer je toj adresi zabranjen pristup.

 


U suštini, ovakvi napadi ne treba da vas opterećuju jer ništa ne mogu da urade, ako imate rename-ovanu login stranicu i jak password, kao i username koji nije "providan" (kao Admin, Administrator, ili ime koje koristite da pišete članke), ali ja sam sistem administrator koji voli da sve radi maximalno ispravno pa sam se malo pozabavio ovim napadom.

Pisaću drugi put o tome kako ćete skloniti fajl wp-cofig.php kako ga pogrešno podešen WP ne bi slučajno prikazao posetiocu u plain text formatu, čime bi vam se otkrili passwordi. Takođe ću jednom da "razotkrijem" svoju login stranicu kako bi ovakvi napadi bili smisleni, odnosno da bot može da krene u brute-force-ovanje. Onda ćemo videti koja korisnička imena i password-e je napadač pokušao da koristi za pristup WordPress-u...

Leave a Reply

Your email address will not be published. Required fields are marked *