wp-login.phpへのブルートフォース攻撃(WordPress)

はじめに

当サイトのApacheのWebアクセスログをチェックしていたら、知らぬ間にブルートフォース攻撃を受けていたので、その際の対応記録です。

攻撃に気づいた経緯

  1. アクセスログをなんとなく眺める(Splunkで)
  2. 急激にアクセスが増えたIPアドレス(所在地はどうやらウクライナ)を発見
  3. IPアドレスでSearchしてアクセス履歴をたどってみたら…><

攻撃された際のアクセスログ

当サイトの場合は、以下の流れでwp-login.phpへのブルートフォース攻撃を受けていました。
※ 以下のログではIPアドレス部はxxx.xxx.xxx.xxxに置換しています。

1. wp-login.phpのアクセス可否調査やユーザ名調査をされる

wp-login.phpなどのアクセス可否を見たあと、?author=xでユーザ名を抜き出されていました…

xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:14 +0000] "GET /wp-login.php HTTP/1.1" 200 3848 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:14 +0000] "GET /xmlrpc.php HTTP/1.1" 405 42 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:15 +0000] "GET /?author=1 HTTP/1.1" 301 - "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:15 +0000] "GET /?author=2 HTTP/1.1" 200 30040 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:16 +0000] "GET /?author=3 HTTP/1.1" 404 30005 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:16 +0000] "GET /?author=4 HTTP/1.1" 404 30005 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"

2. 以降4000回ほどログイン試行される

45分程度の間に4000回ほどログイン試行されました…

xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:16 +0000] "POST /wp-login.php HTTP/1.1" 200 4850 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0"
xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:17 +0000] "POST /wp-login.php HTTP/1.1" 200 4850 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0"
xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:17 +0000] "POST /wp-login.php HTTP/1.1" 200 4850 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0"
xxx.xxx.xxx.xxx - - [15/Jul/2018:13:07:18 +0000] "POST /wp-login.php HTTP/1.1" 200 4850 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0"
... 以降も秒間数回程度の頻度でログイン試行が続く ...
xxx.xxx.xxx.xxx - - [15/Jul/2018:13:45:57 +0000] "POST /wp-login.php HTTP/1.1" 200 4799 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0"

ここでログイン試行は終わり、結果的には幸いログインはされずに済んでました。

当攻撃に対する対策

当サイトでは取り急ぎ、当攻撃に対して以下の対策を行いました。

  • パスワードの強化
  • 認証失敗時のアカウントロック強化や管理画面のURLの変更(SiteGuard WP Pluginの導入)

他にも対策が必要な箇所が何個かありましたが、すぐできる対策として上記をまず実施しました。

参考URL

WordPress Codexではブルートフォース攻撃に対して、以下のような対策を案内していましたので、同様の攻撃に遭遇された方は参考にしてみてください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA