首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
V2EX  ›  问与答

每天有一个越南 IP, POST /wp-login. PHP 有威胁吗?

  •  
  •   JackCui · 80 天前 · 2110 次点击
    这是一个创建于 80 天前的主题,其中的信息可能已经有所发展或是发生改变。
    用的阿里云服务器,在云盾态势感知管理中看到的,每天都能看到越南 IP,post wp-login.php 。换一个 IP 打一炮,这是什么操作?

    2018-11-27 06:16:08 wp-login.php POST 其他 123.16.36.137(越南)
    2018-11-27 04:30:29 wp-login.php POST 其他 123.21.106.29(越南)
    2018-11-26 22:53:00 wp-login.php POST 其他 171.234.135.196(越南)
    2018-11-26 16:44:19 wp-login.php POST 其他 123.28.184.253(越南)

    持续了一周了。
    32 回复  |  直到 2018-11-28 04:05:36 +08:00
        1
    masker   80 天前 via Android
    穷举吗在
        2
    JackCui   80 天前
    @masker 不知道在干嘛,不知道要不要把越南 IP 屏蔽了。
        3
    leoleoleo   80 天前
    这种请求一般都是全网扫描,专门去找 wordpress,因为 wordpress 经常爆一些安全问题。这个请求就是 wordpress 登录页面。
        4
    dot2017   80 天前
    推荐个插件:WpLoginDoor,设置个传递参数,完美防御
        5
    adoui   80 天前 via Android
    可能在爆破吧,
        6
    JackCui   80 天前
    @leoleoleo 哦哦,这样啊。感谢。
        7
    JackCui   80 天前
    @dot2017 嗯嗯,看来得隐藏下了。
        8
    JackCui   80 天前
    @adoui 每天就两个请求,还换 IP。
        9
    crist   80 天前
    越南黑客?
        10
    songz   80 天前
    话说可不可以把 wp-login.php 文件重命名?
        11
    JackCui   80 天前
    @crist 有可能 0.0
        12
    JackCui   80 天前
    @songz 加参数的方式更方便些,只有管理员知道正确请求参数,请求参数不正确,直接 redirect 到主页。
        13
    annoy1309   80 天前 via Android
    就两个请求也太少了,我每天请求这个页面的(虽然我已经改了),天天是 1w 请求起步,大概率各种扫描器
        14
    JackCui   80 天前
    @annoy1309 如果我加了个参数,例如?root=JackCui。这样还是会被扫描到?哦哦,我是小站,流量不多,日活 PV 才 3000。
        15
    agdhole   80 天前
    我的也有各种 wp 的 url 访问,可惜我是 nuxt (逃
        16
    JackCui   80 天前
    @agdhole 0.0
        17
    natforum   80 天前
    这个是扫描器啊,我知道
        18
    zhouyut001   80 天前
    我没有搞博客就一个 hello world 也一天被扫描,弱口令试过去试过来
        19
    Mac   80 天前 via Android
    正常的很,你可以把目录改了
        20
    vipdog73   80 天前   ♥ 2
    先到 http://www.ipdeny.com/ipblocks/下载以国家代码编制好的 IP 地址列表,比如下载 cn.zone:
    # wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
    有了国家的所有 IP 地址,要想屏蔽这些 IP 就很容易了,直接写个脚本逐行读取 cn.zone 文件并加入到 iptables 中:

    #!/bin/bash
    # Block traffic from a specific country
    # written by vpsee.com

    COUNTRY="cn"
    IPTABLES=/sbin/iptables
    EGREP=/bin/egrep

    if [ "$(id -u)" != "0" ]; then
    echo "you must be root" 1>&2
    exit 1
    fi

    resetrules() {
    $IPTABLES -F
    $IPTABLES -t nat -F
    $IPTABLES -t mangle -F
    $IPTABLES -X
    }

    resetrules

    for c in $COUNTRY
    do
    country_file=$c.zone

    IPS=$($EGREP -v "^#|^$" $country_file)
    for ip in $IPS
    do
    echo "blocking $ip"
    $IPTABLES -A INPUT -s $ip -j DROP
    done
    done

    exit 0
        21
    JackCui   80 天前
    @natforum 哦哦 感觉应该是扫描器了。
        22
    JackCui   80 天前
    @zhouyut001 哈哈,是啊。网站平均每天攻击得有 500 左右吧。
        23
    JackCui   80 天前
    @Mac 好的 感谢。
        24
    JackCui   80 天前
    @vipdog73 好的,给力啊,感谢,我现在用 ipset。
        25
    vipdog73   80 天前
    @JackCui 地址是这个,为啥把后面汉字都连在里了 http://www.ipdeny.com/ipblocks/
        26
    jookr   80 天前
    wp 程序有个漏洞是从 wp-login.php 攻击的
    我把所有访问这个 url 的 ip 都屏蔽了
        27
    JackCui   80 天前
    @vipdog73 嗯嗯,这个知道,看到了,感谢。
        28
    JackCui   80 天前
    @jookr 嗯嗯,我打算也这样弄下。
        29
    sigup   80 天前
    蠕虫, 他要是成功了, 你的服务器也会每天扫别人
        30
    JackCui   80 天前
    @sigup 怎么看服务器是否中了蠕虫呢?
        31
    JackCui   80 天前
    更改了 wp-login.php 地址,依然无效,还是能攻击到 wp-login.php 不知道为毛。
        32
    czb   79 天前 via Android
    Wordfence 这个插件很舒服 特别是买了 Premium 之后它的 Real-time blacklist 真的厉害
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   936 人在线   最高记录 4346   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 23ms · UTC 19:08 · PVG 03:08 · LAX 11:08 · JFK 14:08
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1