Frage:
Verhindern gefälschte WP-Anmeldeseiten Webanwendungsangriffe?
Heng Ye
2020-04-06 00:21:04 UTC
view on stackexchange narkive permalink

Viele Bots greifen Websites an, indem sie versuchen, eine Administrator-Anmeldeseite (z. B. wp-login.php ) zu finden und sich anzumelden.

Wäre eine effektive Möglichkeit, diese zu stoppen Angriffe sollen eine gefälschte (Nicht-Login) Seite für die Ziel-URLs erstellen?

Stack Overflow leitet dazu zu YouTube um: stackoverflow.com/wp-login.php

"und versuche mich anzumelden" Verstehe ich Dinge falsch oder hast du irgendwie Angst, dass ihre Anmeldeversuche erfolgreich sein könnten?
Nein, es ist keine WP-Website.
Ich versuche nur zu verhindern, dass die Bots weiterhin Angriffe auf die Site ausführen.
Anstatt einen 404 für ungültige Seiten zurückzugeben, muss Ihr Webserver einen Fehlercode 500 zurückgeben. Dies wird die meisten Scanner erheblich stören und Tausende von Fehlalarmen erzeugen.
@johndoe Ich denke, das sollte eine Antwort sein ...
Oder geben Sie einen Fehlercode "50" zurück ... ohne die letzte 0 und das letzte Zeilenende zu senden.Lassen Sie den Bot eine Auszeit nehmen;Hacker sind nicht für sorgfältige Fehlerbehandlung bekannt.
Ich wollte als Antwort auf die führende Antwort darauf hinweisen, dass Fail2Ban im Allgemeinen nicht die beste Option ist, da es auf IP-Blacklists basiert.Die beste Option ist, stattdessen bestimmte IP-Adressen für eine URL, die mit / wp-admin / beginnt, auf die Whitelist zu setzen und alle anderen IPs nicht zuzulassen.Sie können dies in der Apache-Konfiguration oder in einer htaccess-Datei tun.Fail2Ban sollte nur in Fällen verwendet werden, in denen Ihre Administratoren keine statischen IP-Adressen haben.
Sechs antworten:
Esa Jokinen
2020-04-06 00:55:39 UTC
view on stackexchange narkive permalink

Wenn Sie nicht standardmäßige Pfade für Ihre WordPress-Anmelde- und Administrationsseiten verwenden, wird das automatische Scannen von Brute-Force-Angriffen für jedes example.com/wp-login.php gestoppt, aber die von Ihnen beschriebene Vorgehensweise ist nur durcheinander mit den Angreifern herum und tut weder wirklich gut noch schadet.

Der beste Weg, um die Bots zu stoppen, ist die Verwendung von sicheren Passwörtern und Fail2Ban .

Ein gefälschter wp-Login & wp-admin könnte jedoch als Honeypot verwendet werden, um mehr über die laufenden Angriffe zu erfahren. Ich möchte die versuchten Anmeldeinformationen sammeln, um zu wissen, welche Lecks derzeit beliebt sind. Ich lasse die Anmeldeinformationen auch zufällig "funktionieren", um die Malware zu sammeln, die sie installieren möchten. Natürlich funktioniert es nicht, weil es nur wie WordPress aussieht und sich so verhält, ohne es zu sein. Durch Reverse Engineering der Malware kann ich jedoch lernen, wie sie sich zu verstecken versucht, was mir einen Vorteil beim Reinigen infizierter Websites für Kunden verschafft.

Mit WordPress können Sie die URL für die Anmeldung ändern, z. B. "mysite.com / let-me-in.php".Hilft das viel bei der Verhinderung von Bot / Brute Force oder ist es ziemlich viel Sicherheit durch Verschleierung?(Vorausgesetzt, die Passwörter sind stark usw.)
Es hilft nicht viel, wenn Sie gezielt angesprochen werden, aber es gibt Bots, die ständig jede Domain nach den Standard-WP-Anmelde- / Administrationsseiten durchsuchen und allgemeine Benutzernamen und Kennwörter ausprobieren.Das Ändern der URLs hilft sicherlich gegen sie, obwohl es kein Ersatz für sichere Passwörter ist.
schroeder
2020-04-06 00:34:10 UTC
view on stackexchange narkive permalink

Es ist kein effektiver Weg, Bots zu stoppen. Bots registrieren diesen Link als Antwort. Sie werden nicht "aufgeben", weil das Endergebnis nicht das ist, was sie erwartet haben.

Es wäre effektiver, eine gefälschte Anmeldeseite zu haben und jede IP zu blockieren, die versucht, sich anzumelden.

Wie würde ich die IP blockieren, wenn Cloudflare installiert wäre?
@HengYe CloudFlare sollte den Anforderungen, die die ursprüngliche IP-Adresse enthalten, einige Header hinzufügen.
Der Header lautet "X-Forwarded-For", es sei denn, Sie haben einen Unternehmensplan
reed
2020-04-06 01:22:30 UTC
view on stackexchange narkive permalink

Wenn Sie gefälschte Anmeldeseiten hinzufügen, verwandeln Sie Ihre Website in einen Honeypot, der mehr Bots anzieht und die Serverlast erhöht. Ich weiß nicht, warum StackExchange zu YouTube umleitet, vielleicht nur zum Spaß (es sieht so aus, als würden Sie zu zufälligen 10-Stunden-Videos weitergeleitet, einschließlich eines 10-Stunden-Songs von trololol ). Wenn Sie vermeiden möchten, Aufmerksamkeit zu erregen, sollten Sie HTTP 404 zurückgeben und gleichzeitig möglicherweise auch die IP sperren. Beachten Sie, dass Sie, wie Esa Jokinen in seinem Kommentar betonte, vorsichtig sein sollten, wenn Sie IPs verbieten, um mögliche Probleme zu vermeiden, die zu einem Denial-of-Service führen würden.

Das Sperren jeder IP-Adresse, die auf die Anmeldeseite zugreift, ist nicht sinnvoll, da sie leicht missbraucht werden kann: z.Jemand, der ein hinzufügt, verbietet jedem, der von Ihrer Site aus auf diese Seite zugreift.In der @schroeder's-Antwort löst nur eine POST-Anfrage das Verbot aus.
@EsaJokinen Es ist auch nicht so, dass Sie keine POST-Anfragen über JavaScript stellen könnten.Ein einfaches Formular und ein "onload ()" - Klick auf "Senden".
Die Standardeinstellungen für standortübergreifende Bilder und standortübergreifende POST-Anforderungen sind etwas unterschiedlich.Natürlich gibt es mehrere zusätzliche Maßnahmen, um beides zu verhindern, aber wir müssen eine Grenze ziehen, wie weit wir dies von der ursprünglichen Frage nehmen werden.Ich nehme an, mein Honeypot-Beispiel ist schon ein bisschen weit davon entfernt.
@EsaJokinen, Daran hatte ich nicht gedacht, ich habe meiner Antwort nur eine Notiz hinzugefügt.Wie MechMK1 sagte, hätten Sie jedoch das gleiche Problem mit jeder anderen Art von Anfrage, es sei denn, Sie implementieren bestimmte Maßnahmen (wie das Verhindern von CSRF für Anmeldeanfragen usw.).
Informationen darüber, warum `StackOverflow.com / wp-login.php` zu YouTube umleitet, finden Sie unter https://meta.stackoverflow.com/a/330161/
instance
2020-04-08 07:33:11 UTC
view on stackexchange narkive permalink

Es funktioniert offensichtlich nicht für Bots, aber basierend auf dem Betrachten von Protokollen habe ich festgestellt, dass gelangweilte Skriptkinder effektiv davon abgehalten werden, die Abfrage an https://www.fbi.gov/investigate/cyber umzuleiten

Für die Bots hängt vieles davon ab, ob Sie einen guten Host haben oder die Kontrolle über Ihre eigene Hosting-Umgebung haben. Es gibt Apache ModSecurity-Regeln, die wiederholte Anmeldefehler blockieren. Sie können dies mit dem lfd-Daemon von ConfigServer koppeln, der so konfiguriert werden kann, dass die ModSecurity-Protokolle gescannt und ein längerfristiger Block für Wiederholungstäter eingerichtet wird.

user212460
2020-04-08 06:06:34 UTC
view on stackexchange narkive permalink

Erstellen Sie eine gefälschte Admin-Anmeldeseite, die Sie beim Anmelden zu einem gefälschten Admin-Dashboard weiterleitet, das dem echten sehr ähnlich sieht und die gleichen Seiten wie das echte hat, aber all diese gefälschten Admin-Benutzer-Aufgaben erledigt nichts reales. Dies kann Bots verwirren. Denken Sie auch daran, dass Sie bei Konfigurationsänderungen die URL ändern müssen, damit ein Parameter namens action auf die (gefälschte) Aktion gesetzt wird.

AccountantM
2020-04-08 10:01:31 UTC
view on stackexchange narkive permalink

Ist Ihre Website eine WordPress-Website? Sie haben in Ihren Kommentaren "Nein" gesagt.

Es besteht also keine Gefahr einer erfolgreichen Anmeldung auf Ihrer Anmeldeseite "WordPress"!

Die einzige Bedrohung, die ich in Ihrem Fall sehen kann, ist Die Ressourcen, die diese Bots verbrauchen, können durch eine 200 OK -Antwort für Ihre gefälschte /wp-login.php erhöht werden. Das schlimmste Szenario ist, dass diese Scan-Bots Scannen Sie Ihre Domain weiter, bis sie eine andere Sicherheitslücke findet.

Wenn Ihre Website keine WordPress-Website ist, ist die beste Lösung meiner Meinung nach die Umleitung von SO auf einen anderen Server, der die Last wie YouTube bewältigen kann.

Oder wenn Sie aggressiver sein möchten, blockiere ich auf meiner Nicht-WordPress-Website jede IP für 24 Stunden, die diese Seiten wie /wp-login.php anfordert. Ich kenne meine kleine Website gut und ich habe keine Links zu /wp-login.php , und ich bin sicher, dass jeder, der diese Seite anfordert, ein Scan-Bot ist, also blockiere ich sie für eine Weile.

Ein Bot ist kein Benutzer mit einem Browser.Es folgt nicht dem Link zu YouTube und sieht sich das gesamte 10-Stunden-Video an.Selbst wenn dies der Fall wäre, würden Sie den missbräuchlichen Datenverkehr an einen nicht verbundenen Dritten weiterleiten, sodass die Gründe für das Senden an eine Seite, die "die Last bewältigen kann", wahrscheinlich illegal wären.
Die Beantwortung von "200 OK" gegenüber "403 Verboten" oder "404 Nicht gefunden" verbraucht relativ viel Ressourcen, was so gut wie nichts ist.(`403` erspart Ihnen jedoch möglicherweise einen zusätzlichen Dateisystemzugriff.) Dies ist nur eine kurze Antwort auf eine kurze Anfrage.Es ist nicht so, dass die Bots Anfragen überfluten.z.B.In den letzten 24 Stunden hat mein Honeypot 248 POST-Anfragen erhalten, was ungefähr 10 Versuchen pro Stunde entspricht.Mit Sicherheit kann jeder Webserver mit diesen Hintergrundgeräuschen des Internets umgehen.
* "Es folgt nicht dem Link zu YouTube und sieht sich das gesamte 10-Stunden-Video an." * Die meisten Bots folgen der Umleitung, zumindest für die maximale Weiterleitung, für die sie konfiguriert sind.Und ja, das Weiterleiten an Dritte ist irgendwie böse, aber das ist YouTube :) Es ist die Art des Geschäfts, als wäre man rund um die Uhr unter einem DDOS
* "Die Beantwortung von 200 OK im Vergleich zu 403 Verboten oder 404 Nicht Gefunden verbraucht relativ viel Ressourcen." * 200 OK lässt den Bot denken, dass es die WordPress-Protokollierung ist, die ihn zum nächsten Schritt veranlasst und versucht, sich anzumelden, aber 404oder eine andere Fehlerantwort könnte dazu führen, dass der Bot bei diesem Schritt anhält. Das, was ich mit "200 OK" gemeint habe, erhöht den Verkehr, den dieser Bot ausführt
Es gibt eine Ausgründungsfrage in Bezug auf die verbrauchte Bandbreite und andere Ressourcen.In meiner [Antwort] (https://security.stackexchange.com/a/229446/70406) habe ich dies etwas weiter ausgeführt, indem ich erklärt habe, wie die Bots derzeit funktionieren.Von dort aus können Sie sehen, warum die Bandbreite kein Problem darstellt.
@EsaJokinen Ich werde es sorgfältig lesen, es scheint ein großartiger Beitrag zu sein, der mehr Aufmerksamkeit verdient.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...