Wordpress: Admin-Account absichern!

Martok · Verfasst: Sa 29.12.12 01:47

Hallo!

Public Service Announcement: aktuell (ca eine Woche) habe ich auf allen mir bekannten Wordpress-Installationen massenweise Loginversuche auf den Account "admin" mit Passwörtern aus einem ziemlich umfangreichen Wörterbuch. Das ganze 24/7 so ca. alle 10 Minuten.

Ob eine Installation betroffen ist, lässt sich z.B. mit einem Login-Log-Plugin herausfinden (in den Einstellungen aktivieren, dass auch fehlgeschlagene aufgezeichnet werden).

Solltet ihr also ein WP haben oder betreuen oder jemanden kennen der eins hat: nochmal nachsehen, ob euer Passwort einigermaßen sicher ist. Ggf. kann man auch den Admin-Account umbenennen, so wie ich das beobachtet hab wird nur "admin" versucht.

Die haben alle den gleichen User-Agent (nämlich den eines IE6 auf XPSP2), man kann also einfach auf diesen filtern und die Verbindung beenden. Sowas sollte in freier Wildbahn eigentlich nicht mehr existieren, Overblocking ist also unwahrscheinlich

Diesen Code habe ich dazu ganz oben in die wp-config.php (weil die Upgrades überlebt) eingefügt. Damit wird die Verbindung so früh wie einfach möglich beendet, wenn der Bewusste erkannt wird. Das Ganze läuft bei mir seit ein paar Stunden, ist aber bis auf weiteres ungetestet und ohne jede Garantie.

markieren

PHP-Quelltext

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:

if (isset($_SERVER['REQUEST_URI']) && ($rq = $_SERVER['REQUEST_URI']) && !empty($rq) &&
  isset($_SERVER['HTTP_USER_AGENT']) && ($ua = $_SERVER['HTTP_USER_AGENT']) && !empty($ua)) {
  if (preg_match('#wp-login\.php#i',$rq) && preg_match('#SV1#i',$ua)) {
//OPTIONAL: Loggen, was los war
    $what = array();
    foreach(array('HTTP_USER_AGENT','CONTENT_TYPE','HTTP_REFERER','REMOTE_ADDR','REQUEST_METHOD','QUERY_STRING','REQUEST_URI') as $k) {
      $what[$k] = $_SERVER[$k];
    }
    $what['POST'] = &$_POST;
    $what['GET'] = &$_GET;
    file_put_contents(ABSPATH.'login-block.txt',date('c').';'.json_encode($what)."\r\n",FILE_APPEND);
//ENDE OPTIONAL
    header('HTTP/1.1 403 You are a bot, you don\'t belong here.');
    die('Bugger off!');
  }
}

Ende der Durchsage.

Grüße,
Martok

_________________
"The phoenix's price isn't inevitable. It's not part of some deep balance built into the universe. It's just the parts of the game where you haven't figured out yet how to cheat."

Martok · Verfasst: Sa 13.04.13 17:34

Update:

Es geht wieder los. Diesmal etwas cleverer, mit mehr als 90k Angreifer-Hosts und auch nicht mehr so einfach blockbar, da die sich jetzt als Firefox 18 ausgeben - der ist zwar auch schon etwas her, aber nicht ganz so offensichtlich "böse".

Der Angriff ist aber (besonder was die Timing-Muster angeht) der selbe, ich vermute also mal dass das erste der Probelauf dazu war.

Am Besten ist immer noch, den Adminaccount nicht "admin" zu nennen (und auch nicht so wie ein User, der Beiträge postet) und ein nicht-wörterbuchiges Passwort zu haben.

_________________
"The phoenix's price isn't inevitable. It's not part of some deep balance built into the universe. It's just the parts of the game where you haven't figured out yet how to cheat."

Dude566 · Verfasst: Sa 13.04.13 18:01

Der Link zu heise.de führt ins Leere user profile icon

Martok.

Hier der richtige Link zum Artikel: www.heise.de/newstic...eltweit-1841419.html

_________________
Es gibt 10 Gruppen von Menschen: diejenigen, die das Binärsystem verstehen, und die anderen.

Martok · Verfasst: Sa 13.04.13 19:06

Dude566 hat folgendes geschrieben :

Der Link zu heise.de führt ins Leere user profile icon

Martok.

Ach stimmt, da muss man ja dann alles wegkürzen. Hatte das nur hier im Editor gemacht, nicht direkt den Kurzlink kopiert

_________________
"The phoenix's price isn't inevitable. It's not part of some deep balance built into the universe. It's just the parts of the game where you haven't figured out yet how to cheat."

	Mitgliederliste
	Gruppen
	Das Team
	Richtlinien
	Synonyme