Wordpressへのブルートフォースアタック 3
Published: 2013/07/21
しばらく観測できていなかったのですが、7/18になって同時に複数箇所で観測されました。
複数ネットワークの観測点すべてドイツからアクセスでした。
そして今回は登録されているアカウントの狙い撃ちです。
Wordpressは
/?author=「USERID」
へアクセスするとauthorアーカイブへリダイレクトされるので、USERIDを1から順番に変えてリクエストを投げることでユーザーが何人いるのかとか名をauthor名を取得することができるためそれが利用されているようです。
たとえばブルートフォース前にこのような10件のアクセスログが一回だけ残されていました。
88.198.107.XXX - - [18/Jul/2013:18:48:20 +0900] "GET /wordpress/?author=1 HTTP/1.1" 200 9334 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15" 88.198.107.XXX - - [18/Jul/2013:18:48:21 +0900] "GET /wordpress/?author=2 HTTP/1.1" 200 9298 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15" 88.198.107.XXX - - [18/Jul/2013:18:48:22 +0900] "GET /wordpress/?author=3 HTTP/1.1" 404 7142 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15" 88.198.107.XXX - - [18/Jul/2013:18:48:23 +0900] "GET /wordpress/?author=4 HTTP/1.1" 404 7142 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15" 88.198.107.XXX - - [18/Jul/2013:18:48:24 +0900] "GET /wordpress/?author=5 HTTP/1.1" 404 7142 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15" 88.198.107.XXX - - [18/Jul/2013:18:48:25 +0900] "GET /wordpress/?author=6 HTTP/1.1" 404 7142 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15" 88.198.107.XXX - - [18/Jul/2013:18:48:26 +0900] "GET /wordpress/?author=7 HTTP/1.1" 404 7142 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15" 88.198.107.XXX - - [18/Jul/2013:18:48:27 +0900] "GET /wordpress/?author=8 HTTP/1.1" 404 7142 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15" 88.198.107.XXX - - [18/Jul/2013:18:48:28 +0900] "GET /wordpress/?author=9 HTTP/1.1" 404 7142 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15" 88.198.107.XXX - - [18/Jul/2013:18:48:29 +0900] "GET /wordpress/?author=10 HTTP/1.1" 404 7142 "-" "Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.9.0.15) Gecko/2009102815 Ubuntu/9.04 (jaunty) Firefox/3.0.15"
ログ上はAuthor=1と2に対して200番応答が返っていますが、この存在する2アカウントに対して30分後にブルートフォースアタックが開始されています。
ログインユーザー名をそのままブログ表示名としたりしていろいろな場所で見えるようにしていると、このユーザー名でログインできますよといっているようなものでセキュリティ的にはとても危険です。なので、たとえばブログ表示名をログインユーザー名とは異なるニックネームに設定したり
さらにプラグインの「edit author slug」を追加することで表示名を任意の文字列に変えたりすることができるので、このような対策をとることによりログイン可能なユーザー名を簡単にみつけられないようにでき、乗っ取りの危険度を低減できます。
「admin」「root」というユーザー名を使わないというだけではなく、ブログ表示名等にログインユーザー名がそのまま表示されることのないように対策をし、あわせて複雑なパスワードを利用することが必要です。
by jyake