Discussioni sulla computer security
 

tentati accessi a WordPress con utente "feed" via Tor

Gabriele - onenet 7 Ott 2015 01:15
Ciao,

noto su un sito che amministro conto terzi numerosi tentativi di accesso
(bloccati) con nome utente "feed", tutti tramite IP di exit node di Tor.

Avete conoscenza di bot particolari che usino questo sistema, o posso presumere
siano degli "umani" poco simpatici che lo fanno apposta?

Gabriele

x-post e f/u su it.comp.sicurezza.varie
elledi 14 Ott 2015 16:10
Il 07/10/15 01.15, Gabriele - onenet ha scritto:
> Ciao,
>
> noto su un sito che amministro conto terzi numerosi tentativi di accesso
> (bloccati) con nome utente "feed", tutti tramite IP di exit node di Tor.
>
> Avete conoscenza di bot particolari che usino questo sistema, o posso
> presumere siano degli "umani" poco simpatici che lo fanno apposta?


ciao Gabriele,
mi accodo alla domanda. Io non ho i log e non ci capisco molto ma vedo
dalle statistiche cose molto strane da 5-6 gg.
Un sito sonnacchioso che, da poche centinaia di accessi, arriva a 15-20
mila al giorno, 5-6mila che cercano la pagina /feed; sito scolastico che
di colpo si ritrova richieste dall'Ucraina, USA, Francia, Brasile..verso
una presunta pagina /XMLRPC.php. I sistemisti sembrano in panico,
rispondono ad minchiam.
E'cominciato tutto un 10 gg fa con un pannello Plesk scombinato, login
che non avvenivano, messaggi di errore che non c'entravano per nulla
(tipo "non hai usato il token" come fosse una banca), poi é rientrato,
Da ieri un disastro. Stiamo traslocando ma se succede ad altri non é sul
server il problema.
Gabriele - onenet 15 Ott 2015 18:42
elledi wrote on 14/10/15 16:10:
> Il 07/10/15 01.15, Gabriele - onenet ha scritto:
>> Ciao,
>>
>> noto su un sito che amministro conto terzi numerosi tentativi di accesso
>> (bloccati) con nome utente "feed", tutti tramite IP di exit node di Tor.
>>
>> Avete conoscenza di bot particolari che usino questo sistema, o posso
>> presumere siano degli "umani" poco simpatici che lo fanno apposta?
>
>
> ciao Gabriele,
> mi accodo alla domanda. Io non ho i log e non ci capisco molto ma vedo dalle
> statistiche cose molto strane da 5-6 gg.
> Un sito sonnacchioso che, da poche centinaia di accessi, arriva a 15-20 mila
al
> giorno, 5-6mila che cercano la pagina /feed; sito scolastico che di colpo si
> ritrova richieste dall'Ucraina, USA, Francia, Brasile..verso una presunta
> pagina /XMLRPC.php. I sistemisti sembrano in panico, rispondono ad minchiam.
> E'cominciato tutto un 10 gg fa con un pannello Plesk scombinato, login che non
> avvenivano, messaggi di errore che non c'entravano per nulla (tipo "non hai
> usato il token" come fosse una banca), poi é rientrato, Da ieri un disastro.
> Stiamo traslocando ma se succede ad altri non é sul server il problema.


Sono due cose diverse.
Io sto parlando di tentati accessi con nome utente "feed", tu invece vedi
solamente delle richiesta ad una pagina dove qualcuno si aspetta di trovare un
Feed RSS probabilmente.

Riguardo XMLRPC è un aspetto sulla sicurezza di Wordpress che periodicamente
viene fuori, alcuni lo disabilitano, comunque qui trovi un articolo appena
uscito sull'argomento:
https://www.wordfence.com/blog/2015/10/should-you-disable-xml-rpc-on-wordpress/


Gabriele
elledi 16 Ott 2015 13:41
Il 15/10/15 18.42, Gabriele - onenet ha scritto:

> Sono due cose diverse.

sí, volevo sottolineare che ci sono attacchi in corso. C'era qualcosa
anche sul blog di seeweb.

> Riguardo XMLRPC è un aspetto sulla sicurezza di Wordpress che
> periodicamente viene fuori, alcuni lo disabilitano,

é disabilitato ma non toglie che ci provino.
Appena ho tempo limito gli IP, il sito si rivolge a un pubblico
scolastico e sti interessi dall'Ucraina o dal Brasile non ce li vedo.
Gabriele - onenet 16 Ott 2015 17:06
elledi wrote on 16/10/15 13:41:
[...]

> Appena ho tempo limito gli IP, il sito si rivolge a un pubblico scolastico e
> sti interessi dall'Ucraina o dal Brasile non ce li vedo.
>
>

Allora ti consiglio caldamente di installare WordFence!

ciao

Gabriele
elledi 20 Nov 2015 14:11
Il 16/10/15 17.06, Gabriele - onenet ha scritto:

> Allora ti consiglio caldamente di installare WordFence!

grazie! [scusa il ritardo son rientrata ieri]

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sulla computer security | Tutti i gruppi | it.comp.sicurezza.varie | Notizie e discussioni sicurezza varie | Sicurezza varie Mobile | Servizio di consultazione news.