Lidando com ataque de força bruta

1

Na maior parte de ontem (e hoje até agora), meu servidor está sendo atacado com força bruta.

Eu sou um administrador de inexperiência quando é passado o básico. Eu entendo como encontrar coisas, às vezes entendo como configurar as coisas. Este ataque me deixou estressado e cansado agora.

Toda vez que eu acho que entendi, volta. Aqui está o meu uso da CPU para as 24 horas.

ElefoiinicializadocomoumataquexmlrpccomalgunssitesWordPress,desdeentãoeudesabiliteiissocomalgunsplugins-eutambémremoviosarquivoselesmesmos.

Osataquescontinuam.Meuauth.logmostramuitastentativas.Eufizalgumasleituras,poderiafail2banéumaótimaferramentaparapararataquesdeforçabruta.

Configurado-achoqueestácerto,apesardehaveralgunserrosde"Comando não encontrado" - ele diz que ele proibiu um IP que estava me atacando.

As coisas estão quietas por enquanto. Eu checo esta manhã - CPU ligada. Eu corro para ver o que está tomando todo o APU o programa 'host' está sendo executado.

4274 forge     20   0 1721620   6760   3264 S 98.8  0.3  14:04.99 host                                               
4537 forge     20   0  362804  33656   8664 R  0.3  1.6   0:00.14 php5-fpm                                           
1 root      20   0   33504   3968   2624 S  0.0  0.2   0:01.48 init                                               
2 root      20   0       0      0      0 S  0.0  0.0   0:00.00 kthreadd                                           
3 root      20   0       0      0      0 S  0.0  0.0   0:00.06 ksoftirqd/0                                        
5 root       0 -20       0      0      0 S  0.0  0.0   0:00.00 kworker/0:0H                                       
6 root      20   0       0      0      0 S  0.0  0.0   0:00.10 kworker/u2:0                                       

Até diz pelo meu usuário. Algo mais está rodando isso - como posso descobrir?

    
por Richard Testani 24.09.2016 / 14:32

1 resposta

1

O Xmlrpc.php pode iniciar o dos para outros domínios, mantendo o seu host como fonte. Você deve remover o xmlrpc.php, alterar o link da página de login ou permitir login para seus poucos IPs conhecidos do .htaccess.

exemplo do wpscan:

[!] O arquivo link 'do WordPress existe expondo um número de versão
[+] Cabeçalho interessante: LINK: link ; link ; rel = shortlink
[+] Cabeçalho interessante: SERVER: Apache
[+] Interface XML-RPC disponível em: link
[+] WordPress versão 4.6.1 (Lançado em 2016-09-07) identificado a partir de impressão digital avançada, meta-gerador, leia-me, links opml, números de folhas de estilo

    
por 27.09.2016 / 21:10