本日も約6時間ほど不正ログインの攻撃がありました。
手順は以下のようです。
1)ログインURLを知る
2)ユーザ名を知る
3)複数のパスワードでログインを試みる
1)ログインURLを知る
WordPressのログイン画面のURLを取得していますね。
単純に「/wp-login.php」にアクセスし、リダイレクト後のログインURLを取得しています
188.126.80.48 - - [05/Dec/2015:06:21:22 +0900] "GET /wp-login.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 188.126.80.48 - - [05/Dec/2015:06:21:23 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 200 3180 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
2)ユーザ名を知る
WordPressのサイトに「/?author=1」という引数でアクセスしてユーザIDを取得します。
今回は wp_administrator が取得されてしまいました。
こちらは WordPress の”仕様”なので隠しようがありません。
なお、WordPressだけのログイン防止であれば、
「SiteGuard WP Plugin」とか「Jetpack」などのプラグインを導入する方が良いでしょう。
188.126.80.48 - - [05/Dec/2015:06:21:24 +0900] "GET /?author=1 HTTP/1.1" 301 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 188.126.80.48 - - [05/Dec/2015:06:21:24 +0900] "GET /author/wp_administrator/ HTTP/1.1" 200 77935 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
3)複数のパスワードでログインを試みる
取得ユーザID(wp_administrator)で、用意しておいたパスワードでログインを試みます。
30秒〜1分程度間隔で試行してますね。
188.126.80.48 - - [05/Dec/2015:07:03:52 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 200 3180 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 188.126.80.48 - - [05/Dec/2015:07:05:34 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 188.126.80.48 - - [05/Dec/2015:07:06:16 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 188.126.80.48 - - [05/Dec/2015:07:08:36 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" : この間、400回のログイン試行 188.126.80.48 - - [05/Dec/2015:12:24:41 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36" 188.126.80.48 - - [05/Dec/2015:12:29:10 +0900] "GET /wordpress/wp-login.php HTTP/1.1" 403 1371 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
doshelperにより最初のログイン試行以外は、すべてレスポンスコード 403 で弾いてます。
みなさん、他のサイトで試しちゃダメですよ。
doshelper はフリーで公開しているので、どうぞお試しください。
https://github.com/kurosawatsuyoshi/doshelper