Vulnerabilidade do Wordpress - CRITICO

[LucianoZ]

20 minutos atrás, Jorge Marcelino disse:

WAF e ajustes diretamente no servidor, NÃO é falha no Wordpress.

Não da para afirmar com certeza que também não é, se estão tentando bruteforce é porque acharam alguma forma de capturar.

[Jorge Marcelino]

6 minutos atrás, LucianoZ disse:

Não da para afirmar com certeza que também não é, se estão tentando bruteforce é porque acharam alguma forma de capturar.

Isso ocorre até nas versões atualizadas, pode ter certeza que já verificamos isso. Como dito utilizam scripts para fazer varreduras, a partir do hostname (IP) do servidor.

[NullRoute]

Eu acho que eles estão atirando para tudo quanto é lado, o que me chama a atenção é o porque usarem uma botnet BR para isso ai.

[sabenada]

8 minutes ago, owsbr said:

Eu acho que eles estão atirando para tudo quanto é lado, o que me chama a atenção é o porque usarem uma botnet BR para isso ai.

Exato colega, chama atenção é isso, uma botnet 100% BR.

E vou te dizer, eu venho coletando todos os IP's da botnet - eliminando os duplicados já tenho 21.000 IP's.  Claro que a maioria é IP dinamico, mas mesmo assim é muita máquina infectada, mesmo que seja só 10% disso o cara tem uma botnet de 2.000 máquinas.

Outra informação: hoje a botnet saiu do padrão do horário, já não atacou "somente após as 14hs" - hoje iniciou o ataque as 06h.

 

[NullRoute]

33 minutos atrás, sabenada disse:

Exato colega, chama atenção é isso, uma botnet 100% BR.

E vou te dizer, eu venho coletando todos os IP's da botnet - eliminando os duplicados já tenho 21.000 IP's.  Claro que a maioria é IP dinamico, mas mesmo assim é muita máquina infectada, mesmo que seja só 10% disso o cara tem uma botnet de 2.000 máquinas.

Outra informação: hoje a botnet saiu do padrão do horário, já não atacou "somente após as 14hs" - hoje iniciou o ataque as 06h.

 

Pois é, preocupante demais até mesmo por outra situação.

Nas novas versões do WHM é possível colocar um geobloqueio para os serviços do servidor (webmail, cpanel, smtp, etc..)
No meu caso eu bloqueei o mundo inteiro menos Brasil (99% dos meus clientes)...e com isso contas invadidas para envio de spam caiu drasticamente MAS ai notei essa situação que você disse...Começaram a usar botnet BR..

F*** isso...

[adamkain]

É, aqui começou a partir das 6h tbm...
Mas pelo que vi, não foi somente no wp-login.php, o index.php tbm estava sendo alvo

Desativei o cachewall e ativei o engintron e parece que está segurando conforme solução postada.

[Thiago Santos]

Como uma opção gratuita para o WordPress: https://br.wordpress.org/plugins/hide-my-wp/, no meu WP uso ele e nada foi alterado por aqui. O problema é nos clientes que só instalam e deixam tudo padrão, o correto é entrar em cada WP e alterar o login, isso já deveria ser padrão do WP, quando vc instala ele, já altera as URL's padrões, caso contrário é fácil ter problemas com ele.

[sabenada]

12 minutes ago, adamkain said:

É, aqui começou a partir das 6h tbm...
Mas pelo que vi, não foi somente no wp-login.php, o index.php tbm estava sendo alvo

Desativei o cachewall e ativei o engintron e parece que está segurando conforme solução postada.

Colega, vou dizer... no início deste ataque, coisa de 30 dias atrás, esta botnet fazia bruteforce no WORDPRESS + FTP + CPANEL.

Quando o ataque iniciava em um site, a botnet simultaneamente tentava login no FTP e no CPANEL.  A carga explodia.

Depois de 5 ou 6 dias o desocupado mudou a tática, desistiu do FTP+CPANEL, provavelmente porque o firewall bloqueia após X tentativas, e focou somente no WORDPRESS.

O que me impressiona é como o cara tem inteligência para fazer isso, tem tempo livre - porque não faz algo produtivo? Porque não cria algo para ele?  Mesmo que seja um script-kid (bem provável), o cara tem algum neurônio funcionando, podia trabalhar e ganhar algum dinheiro sem encher o saco dos outros.  O pior é que o ataque dele é meio inútil, aqui eu uso mod_security que está bloqueando todos os hits dele, ou seja a botnet dele não consegue acesso ao wp-login.php.   O cara tá lá perdendo tempo.

Enfim, vamos ver até onde ele vai.

[NullRoute]

2 minutos atrás, Thiago Santos disse:

Como uma opção gratuita para o WordPress: https://br.wordpress.org/plugins/hide-my-wp/, no meu WP uso ele e nada foi alterado por aqui. O problema é nos clientes que só instalam e deixam tudo padrão, o correto é entrar em cada WP e alterar o login, isso já deveria ser padrão do WP, quando vc instala ele, já altera as URL's padrões, caso contrário é fácil ter problemas com ele.

Deveria ser como o PrestaShop que ao finalizar a instalação gera uma URL aleatória.
Algo que o @adamkain disse de fato ocorre, ao barrar wp-login ele vai para o index mantendo a carga elevada do mesmo jeito.

O negócio é esperar e torcer pela morte do autor do ataque.

[Thiago Santos]

2 minutos atrás, owsbr disse:

Deveria ser como o PrestaShop que ao finalizar a instalação gera uma URL aleatória.
Algo que o @adamkain disse de fato ocorre, ao barrar wp-login ele vai para o index mantendo a carga elevada do mesmo jeito.

O negócio é esperar e torcer pela morte do autor do ataque.

Eu notei que nos sites com CloudFlare ativado, essa sobrecarga não acontece, com sucuri deve resolver também.