これらのaccess.logエントリは成功していますかwordpressログイン試行?
私はいくつかのwordpressサイトをApache 2.4 Webサーバーでホストしています。また、次のようにサーバーログに何千ものエントリを発見しました:
221.219.219.248 - - [09/Mar/2015:03:29:25 +1300] "GET /example.com/wp-login.php HTTP/1.1" 200 6656 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
221.219.219.248 - - [09/Mar/2015:03:29:26 +1300] "POST /wp-login.php HTTP/1.1" 302 644 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
そしてこのような何万ものエントリ:
162.144.120.185 - - [13/Mar/2015:07:19:18 +1300] "POST /wp-login.php HTTP/1.0" 302 608 "-" "-"
これらの場合、サーバーは302レスポンス=wordpressのように見えますが、ログインページにリダイレクトされており、ログイン試行の失敗を示しています。
それから私はこのようなエントリーを見ました
78.7.148.218 - - [14/Mar/2015:06:42:31 +1300] "POST /wp-login.php HTTP/1.1" 200 1695 "http://example.com/wp-login.php" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:17.0) Gecko/20100101 Firefox/17.0"
hTTP応答は200。
ブルートフォースログインの試行はパスワードを取得しましたか?これらの実際のログインは成功しましたか?
まず、ログインページにアクセスしてログインしようとしたときのデフォルトの処理方法を次に示します。
POST /wp-login.php
[invalid credentials]
-> 200
POST /wp-login.php
[valid credentials]
-> 302
だから、それはあなたが想定したものとは逆です。 302は有効な資格情報(管理領域にリダイレクト)を意味し、無効な資格情報は200(ログインページに留まる)を意味します。
ただし、有効な資格情報を渡さずに302を達成する方法はいくつかあります。たとえば、POST action=postpassを含むフィールドを追加すると、Cookieが設定され、wp_safe_redirect(デフォルトでは302を使用)が呼び出されます。渡されたリファラー。
action=registerのように、302になる他の多くのアクションがあります。
したがって、ブルートフォース攻撃が成功したとは言えませんが、302人の攻撃者がWebサイトをスキャンして、登録が開いているかどうかを確認している可能性があります(登録してから特権を昇格させる可能性があります)。 。また、ブルートフォースツールの設定が誤っている可能性もあります。