Webseite

Bot-Netze, die das “WWW” nicht braucht !

Bot-Netze

Seit 2 Tagen sind wieder vermehrte Angriffe auf WordPress Installationen zu beobachten. Dazu nutzen die Eindringlinge die Funktionen der “xmlrpc” Datei, die in den Installationen für Pingbacks und Anderem zuständig ist. Was für den Blogger ein beträchtliches Plus darstellt, ist allerdings gleichzeitig eine Sicherheitslücke.
Mit großer Aufmerksamkeit wird die wp-login Datei betrachtet, doch die oben genannte Datei eher nicht und hier liegt schließlich die Krux. Über die xmlrpc können Usernamen und Passwörter in großem Umfang getestet werden, was folglich einem Brutforce Angriff entspricht.

Jedem Nutzer von WordPress ist die Installation von entsprechenden Sicherungstools wärmstens ans Herz zu legen. Das Plugin “Wordfence” ist hier ein probates Mittel. Doch auch hier gilt es erst Grundlegendes zu realisieren, so sollte der Standard-Administrator in WP nach einer Installation auf jeden Fall sofort umbenannt oder durch einen Neuen ersetzt werden. Des Weiteren ist dem entsprechend die User-ID des Administratoraccounts via phpMyAdmin zu ändern, User-ID = 1, bitte etwas mehr anstrengen, es gibt so viele schöne Zahlen 😉   !
Wie der Schutz zu realisieren ist, kann man per Suchmaschine in Erfahrung bringen.

Und so sieht das Ganze im Log aus:

Bangladesh Dhaka, Bangladesh visited https://www.*.de/wp-login.php
27.11.2016 15:15:49 (3 hours 20 mins ago) IP: 103.244.13.* [block] Hostname: 103.244.13.*.deltainfocom.com
Browser: Firefox version 0.0 running on Win7
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Block this IP Block this network Run WHOIS on 103.244.13.* See recent traffic

Bangladesh Dhaka, Bangladesh visited http://www.*.de/wp-login.php
27.11.2016 15:15:37 (3 hours 20 mins ago) IP: 103.244.13.* [block] Hostname: 103.244.13.*.deltainfocom.com
Browser: Firefox version 0.0 running on Win7
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Block this IP Block this network Run WHOIS on 103.244.13.* See recent traffic

Bangladesh Dhaka, Bangladesh visited https://www.*.de/wp-login.php
27.11.2016 15:15:25 (3 hours 20 mins ago) IP: 103.244.13.* [block] Hostname: 103.244.13.*.deltainfocom.com
Browser: Firefox version 0.0 running on Win7
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Block this IP Block this network Run WHOIS on 103.244.13.* See recent traffic

Bangladesh Dhaka, Bangladesh visited http://www.*.de/wp-login.php
27.11.2016 15:15:12 (3 hours 20 mins ago) IP: 103.244.13.* [block] Hostname: 103.244.13.*.deltainfocom.com
Browser: Firefox version 0.0 running on Win7
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Block this IP Block this network Run WHOIS on 103.244.13.* See recent traffic

Bangladesh Dhaka, Bangladesh visited https://www.*.de/wp-login.php
27.11.2016 15:15:00 (3 hours 20 mins ago) IP: 103.244.13.* [block] Hostname: 103.244.13.*.deltainfocom.com
Browser: Firefox version 0.0 running on Win7
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Block this IP Block this network Run WHOIS on 103.244.13.* See recent traffic

Bangladesh Dhaka, Bangladesh visited http://www.*.de/wp-login.php
27.11.2016 15:14:48 (3 hours 21 mins ago) IP: 103.244.13.* [block] Hostname: 103.244.13.*.deltainfocom.com
Browser: Firefox version 0.0 running on Win7
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Block this IP Block this network Run WHOIS on 103.244.13.* See recent traffic

Bangladesh Dhaka, Bangladesh visited https://www.*.de/wp-login.php
27.11.2016 15:14:36 (3 hours 21 mins ago) IP: 103.244.13.* [block] Hostname: 103.244.13.*.deltainfocom.com
Browser: Firefox version 0.0 running on Win7
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Block this IP Block this network Run WHOIS on 103.244.13.* See recent traffic

Bangladesh Dhaka, Bangladesh visited http://www.*.de/wp-login.php
27.11.2016 15:14:24 (3 hours 21 mins ago) IP: 103.244.13.* [block] Hostname: 103.244.13.*.deltainfocom.com
Browser: Firefox version 0.0 running on Win7
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Block this IP Block this network Run WHOIS on 103.244.13.* See recent traffic

Bangladesh Dhaka, Bangladesh was at attempted a failed login using an invalid username “admin”. http://www.*.de/xmlrpc.php
27.11.2016 15:14:21 (3 hours 21 mins ago) IP: 103.244.13.* [block] Hostname: 103.244.13.*.deltainfocom.com
Browser: Firefox version 0.0 running on Win7
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1
Block this IP Block this network Run WHOIS on 103.244.13.* See recent traffic

IP-Adresse aus datenschutzrechtlichen Gründen anonymisiert.

Wie ihr sehen könnt wird versucht den User “admin” für einen Einbruchsversuch zu missbrauchen, doch dieser schlägt schon von vornherein fehl, denn es gibt ihn schließlich nicht. In den Sicherheitseinstellungen von WordFence kann man dann die Zeit für die Sperrung der IP einstellen, ich gebe den Botnetzen dann jeweils 6 Stunden zum nachdenken 😀 .

Eigentlich wollte ich ja mal wieder etwas Inhaltliches beitragen, aber leider …..

Euer DerSchwarzgraue

2 Gedanken zu “Bot-Netze, die das “WWW” nicht braucht !

  1. Oliver

    Hallo 🙂
    bei “UNS” ist es genauso und das schon seit Monaten

    User-String zur Zeit:
    “Browser: Firefox version 0.0 running on Win7
    Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1”

    Von “UNS” auch identifiziert als “Telekom”-Hacker (bereits 2-fach erfolgreich) sowie potentiell auch Reichstag-Admin-Hack.

    • Frank

      Nun ja erstmal scheint der String bei Euch zu passen, doch der Rest ist unwahrscheinlich. “Der Telekom-Hack” bezog sich auf eine Router Infiltration und nicht wie hier auf einen WordPress-Blog, zu erkennen an der xmlrpc.php.
      Was den Bundestag betrifft, so handelte es sich meines Wissens um einen Angriffsszenario mit Hilfe von Pishingmails.

      m.f.G.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.