일반적인 워드 프레스 공격
워드 프레스 무차별 암호 대입 공격에 일반적으로 사용되는 파일은 xmlrpc.php 및 wp-login.php입니다. 이 문서에서는 공격의 증거를 찾는 방법에 대해 자세히 설명합니다.
xmlrpc.php에 대한 공격
XML-RPC 란 무엇입니까?XML-RPC (xmlrpc.php)를 사용하면 다른 애플리케이션에서 WordPress로 원격 업데이트 할 수 있습니다. 현재 버전의 워드 프레스에서는이 작업이 더 이상 필요하지 않으며 활성화 된 상태로두면 사이트가 취약 해집니다. 이 파일을 사용하여 무차별 대입 공격을 찾는 것이 일반적입니다.
공격을 받고 있는지 어떻게 알 수 있습니까?짧은 시간 내에 동일한 IP에서 여러 액세스 시도를 발견하면 공격을받은 것일 수 있습니다.
아래 예에서 IP 12.34.56.789 는 xmlrpc.php 페이지에 한 번에 여러 번 액세스를 시도했습니다 ( 10 / Sep / 2022 : 05 : 12 : 02 ).
acoolexample.com-ssl_log : 12.34.56.789--[10 / Sep / 2022 : 05 : 12 : 02 -0700] "POST //xmlrpc.php HTTP / 1.1"200 438 "-" "Mozilla / 5.0 (Windows NT 10.0 ; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log : 12.34.56.789--[10 / Sep / 2022 : 05 : 12 : 02 -0700]" POST //xmlrpc.php HTTP / 1.1 "200 438"- ""Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com- ssl_log : 12.34.56.789--[10 / Sep / 2022 : 05 : 12 : 02 -0700] "POST //xmlrpc.php HTTP / 1.1"200 438 "-" "Mozilla / 5.0 (Windows NT 10.0; Win64; x64) ) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "acoolexample.com-ssl_log : 12.34.56.789--[10 / Sep / 2022 : 05 : 12 : 02 -0700]"POST // xmlrpc .php HTTP / 1.1 "200 438"- ""Mozilla / 5.0 (Windows NT 10.0; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 80.0.3987.149 Safari / 537.36 "
wp-login.php (wp-admin)에 대한 공격.
공격자는 종종 wp-admin 패널에 액세스하기 위해 한 번에 수백 개는 아니더라도 수십 개의 연결을 시도하는 봇을 사용합니다.
공격을 받고 있는지 어떻게 알 수 있습니까?짧은 시간 내에 동일한 IP에서 여러 액세스 시도를 발견하면 공격을받은 것일 수 있습니다. 암호를 기억하는 데 문제가있는 승인 된 사용자는 일반적으로 시도 사이에 몇 분이 표시됩니다.
아래 예에서 IP 12.34.56.789 는 wp-login.php 페이지에 한 번에 여러 번 액세스를 시도했습니다 ( 10 / Sep / 2022 : 08 : 39 : 15 ).
acoolexample.com-ssl_log : 12.34.56.789--[10 / Sep / 2022 : 08 : 39 : 15 -0700] "POST /wp-login.php HTTP / 1.1"200 70760 "https://www.acoolexample.com/wp-login.php ""Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log : 12.34.56.789--[2022 년 9 월 10 일 : 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1"200 70760 "https://www.acoolexample.com/wp-login.php ""Mozilla / 5.0 (Windows NT 6.3; Win64; x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 103.0.0.0 Safari / 537.36 "acoolexample.com-ssl_log : 12.34.56.789--[2022 년 9 월 10 일 : 08:39:15 -0700] "POST /wp-login.php HTTP / 1.1"200 70760 "https://www.acoolexample.com/wp-login.php ""Mozilla / 5.0 (Windows NT 6.3, Win64, x64) AppleWebKit / 537.36 (KHTML, like Gecko) Chrome / 103.0.0.0 Safari / 537.36 "
다음 단계
- WHOIS 검색을 사용하여 IP의 소유권을 확인합니다. 중국에서 온 IP이고 중국에서 온 고객 / 방문자가없는 경우 악성 일 수 있습니다. IP가 예를 들어 Cloudflare에 속하는 경우 악성 일 가능성이 높습니다.
- 공격을 차단합니다.