Under Attack

wordpress-logo-notext-rgbDieses Blog wird seit heute Nachmittag angegriffen. Aufmerksam darauf geworden bin ich durch das Plugin „Limit Login Attempts„. Dieses Plugin habe ich so konfiguriert, dass IPs bei Loginversuchen nach einer bestimmten Anzahl von falsch eingegebenen Passwörtern für eine gewisse Zeit gesperrt werden. Wiederholt sich eine Sperre bei einer bestimmten IP-Adresse, erhalte ich eine Mail.

Um ca. 17 Uhr habe ich mehrere dieser Mails erhalten. Sie haben mich auf den Angriff aufmerksam gemacht. Zu diesem Zeitpunkt waren bereits an die 100 IPs gesperrt. Diese kamen aus aller Welt. Von den USA über Thailand bis hin zur Türkei. Immer wieder versuchte sich ein Script mit den Usern „admin“, „administrator“, „adminadmin“ und „user“ einzuloggen.

Ich habe zwar sichere Passwörter und die Sperren des Plugins und hoffte daher eine derartige Brute-Force-Attacke unbeschadet zu übersehen. Allerdings kam doch so langsam ein unheimliches Gefühl auf, als sich alle zwei Minuten die Zahl der gesperrten IPs deutlich erhöhte. Bei etwa 300 gesperrten IPs habe ich zusätzlich noch das admin-Verzeichnis von WordPress mit einem zusätzlichen Passwort gesichert.

Eine Anleitung findet sich hier. Der User und das Passwort der vorgeschalteten Abfrage dürfen natürlich auf keinen Fall einem existierenden User und Passwort der WordPress-Installation entsprechen. Nach dieser zusätzlichen Maßnahme hat sich die Zahl der Sperren deutlich langsamer erhöht. Es sind offenbar nur noch diejenigen, die die Login-Seite bereits aufgerufen hatten.

Seit etwa 20 Uhr hat sich die Situation entspannt. Derzeit kommen nur noch wenige Sperren zu den 450 existierenden hinzu. Ich werde die Logs jedoch im Auge behalten, ob die Sperren sich wieder auf die üblichen Anzahl pro Tag einpendeln.

Ich kann jedem, der eine WordPress-Installation aufgesetzt hat, nur raten, Limit Login-Attempts zu installieren und sichere Passwörter zu verwenden. Ich werde auch den User „admin“ entfernen.

Siehe auch hier: Seit April sind Brute-Force Attacken auf WordPress regelrecht explodiert.

Update:

Über die Nacht verteilt sind noch einmal etwas über 100 gesperrte IPs zusammengekommen. Die Krönung waren neun Sperren, die von einer einzelnen IP ausgelöst wurden. Jetzt scheint es wohl überstanden zu sein, denn es ist keine Sperre mehr aktiv und es kommen auch keine neuen IPs dazu. Ich werde das Logfile aber trotzdem weiterhin überwachen. Hoffentlich war es das dann. 

Eine Antwort auf „Under Attack“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.