Httpd Access Log показывает странный бингбот
У меня есть сервер в облаке (ec2), на котором размещены все мои сайты WordPress.
сегодня я заметил, что сайт был взломан взломом..
109.87.118.222 - - [16 / Oct / 2013: 13: 10: 31 -0400] "POST /wp-login.php HTTP / 1.0" 200 3954 " http://smartmoneystrategies.net/wp-login.php" " Mozilla / 5.0 (Windows NT 6.1; rv: 19.0) Gecko / 20100101 Firefox / 19.0 "5.15.198.184 - - [16 / Oct / 2013: 13: 10: 31 -0400]" POST /wp-login.php HTTP / 1.0 "200 3926" http://smartmoneystrategies.net/wp-login.php"" Mozilla / 5.0 (Windows NT 6.1; rv: 19.0) Gecko / 20100101 Firefox / 19.0 "42.116.170.247 - - [16 / Oct / 2013: 13:10:32 -0400] "POST /wp-login.php HTTP / 1.0" 200 3954 " http://smartmoneystrategies.net/wp-login.php" "Mozilla / 5.0 (Windows NT 6.1; rv: 19.0) Gecko / 20100101 Firefox / 19.0 "93.78.138.185 - - [16 / Oct / 2013: 13: 10: 33 -0400]" POST /wp-login.php HTTP / 1.0 "200 3954" http://smartmoneystrategies.net/wp-login.php"" Mozilla / 5.0 (Windows NT 6.1; rv: 19.0) Gecko / 20100101 Firefox / 19.0 "2.95.13.35 - - [16 / Oct / 2013: 13: 10: 33 -0400]" POST / wp -login.php HTTP / 1.0 "200 3940" http://smartmoneystrategies.net/wp-login.php"" Mozilla / 5.0 (Windows NT 6.1; rv: 19.0) Gecko / 20100101 F irefox / 19.0 "93.80.123.137 - - [16 / Oct / 2013: 13: 10: 34 -0400]" POST /wp-login.php HTTP / 1.0 "200 3940" http://smartmoneystrategies.net/wp-login.php"" Mozilla / 5.0 (Windows NT 6.1; версия: 19.0) Gecko / 20100101 Firefox / 19.0 "79.181.39.227 - - [16 / Oct / 2013: 13: 10: 34 -0400]" POST /wp-login.php HTTP / 1.0 "200 3933" http://smartmoneystrategies.net/wp-login.php"" Mozilla / 5.0 (Windows NT 6.1; rv: 19.0) Gecko / 20100101 Firefox / 19.0 "
Я думаю, что я исправил атаку, добавив блокировку входа в систему, чтобы перехватить IP-адреса.
но я также нашел там целую кучу...
157.56.92.164 - - [16 / Oct / 2013: 09: 57: 12 -0400] "GET /search.php/?q=bethanny+franklin+haircut&ht=1 HTTP/1.1" 200 11475 "-" "Mozilla/5.0 (совместимо; bingbot/2.0; + http://www.bing.com/bingbot.htm) "157.56.92.164 - - [16 / Oct / 2013: 09: 57: 13 -0400]" GET /search.php/? ht = 1 & q = адрес + метка + купон + коды HTTP / 1.1 "200 11475" - "" Mozilla / 5.0 (совместимо; bingbot/2.0; + http://www.bing.com/bingbot.htm) "157.56. 92.164 - - [16 / Oct / 2013: 09: 57: 13 -0400] "GET /search.php/?q=Martell+Gay+Bryce&ht=1 HTTP/1.1" 200 11475 "-" "Mozilla/5.0 (совместимо; bingbot/2.0; + http://www.bing.com/bingbot.htm) "157.56.92.164 - - [16 / Oct / 2013: 09: 57: 14 -0400]" GET /search.php/?ht = 1 & q = monterey + мода + пальто HTTP / 1.1 "200 11475" - "" Mozilla / 5.0 (совместимо; bingbot/2.0; + http://www.bing.com/bingbot.htm) "157.56.92.164 - - [ 16 / Oct / 2013: 09: 57: 14 -0400] "GET /search.php/?ht=1&q=SUPERPREP+ELITE+semi+pro+team HTTP/1.1" 200 11475 "-" "Mozilla/5.0 (совместимо; bingbot/2.0; + http://www.bing.com/bingbot.htm) "157.56.92.164 - - [16 / Oct / 2013: 09: 57: 15 -0400] "GET /search.php/?ht=1&q=rines+para+jeep+cheroki HTTP/1.1" 200 11475 "-" "Mozilla/5.0 (совместимо; bingbot/2,0; + http://www.bing.com/bingbot.htm) "157.56.92.164 - - [16 / Oct / 2013: 09: 57: 15 -0400]" GET /search.php/?ht=1&q=outdoor+ pro + staff + возможность HTTP / 1.1 "200 11475" - "" Mozilla / 5.0 (совместимо; bingbot/2.0; + http://www.bing.com/bingbot.htm) "
Что это?
1 ответ
Столкнулся с ними, и они действительно преуспели в существенном сбое нашего веб-сервера. Похоже, это атака паролем с использованием ботнета, которая проводится с апреля и направлена на сайты WordPress, хотя, похоже, в последнее время она возобновилась. Я добавил следующее в наш файл.htaccess, и это, похоже, сработало (очевидно, вам нужно изменить домен и IP-адрес (либо один, либо диапазон для вашего собственного использования):
# BEGIN DDoS block
# Blocks "example.com/wp-login.php" referer without https?://
# And blocks all non-company addresses from wp-login.php
RewriteCond %{HTTP_REFERER} ^example\.com/wp-login\.php$
RewriteRule .* - [F]
<Files ~ "^wp-login.php">
<Limit POST>
deny from all
Allow from XXX.XXX.XXX.XXX
</Limit>
</Files>
<FilesMatch "^wp-login.php$">
Order Deny,Allow
Allow from XXX.XXX.XXX.XXX
Deny from all
</FilesMatch>