Tag-arkiv: IP

.htaccess-beskyttelse mod brute force login i WordPress

8 svar

Hackere banker utrætteligt på bloggens fordør, login-siden. For at slippe for larmen har jeg fjernet adgangen og dørhammeren med .htaccess.

Mest for folk med en blog eller webside, hvor hackere ihærdigt prøver at få adgang med brute force login.

wp-login

Jeg har over tid gjort forskelligt for at forhindre hackere adgang til min blogs ”maskinrum” (WordPress). Det virker også, men det irriterer mig, at de uden ophør hamrer på døren.

Jeg har derfor tilføjet en kodestump til .htaccess, som forhindrer andre IP-adresser end min egen adgang til login-siden. .htaccess er en tekstfil med instruktioner til serveren, og man kan sige, at den fungerer som websidens ”portner”.

Til at lave hele .htaccess-filen har jeg brugt det glimrende plugin Bulletproof Security.

Koden (med forklarende kommentarer i linjerne med #) ser således ud, blot er min IP-adresse ikke 65.100.50.1:

# CUSTOM CODE BRUTE FORCE LOGIN PAGE PROTECTION
# Protect wp-login.php from Brute Force Login Attacks based on IP Address
<FilesMatch “^(wp-login\.php)”>
Order Allow,Deny
# Add your Public IP Address using 2 or 3 octets so that if/when
# your IP address changes it will still be in your subnet range. If you
# have a static IP address then use all 4 octets.
# Examples: 2 octets: 65.100. 3 octets: 65.100.50. 4 octets: 65.100.50.1
Allow from 65.100.
</FilesMatch>

Da min IP-adresse ikke er statisk, har jeg kun angivet de to første tal (65.100.), som min udbyder råder over. Alle andre får en 403 fejlside serveret, hvis de prøver at tilgå loginsiden.

Skulle jeg få brug for adgang, når jeg fx er ude at rejse, kan jeg bare hente .htaccess med FTP, tilføje den midlertidige IP-adresse og uploade igen.

Læs resten →

Den diskrete hacker

8 svar

De fleste hackere, som forsøger at bryde ind på bloggen med brute force, banker så hårdt på, at de er nemme at opdage. Andre er mere diskrete.

Mest for bloggere og andre web-snedkere.

Jeg tjekker jævnligt serverens logfiler for at følge den aktivitet, som ikke fremgår af de normale besøgsstatistikker, og dagligt er der båtnakker, som forsøger at bryde ind.

De ihærdige bruger et program, som prøver tusinder af gange med sekunders mellemrum, det man kalder ”brute force” angreb. Selvom deres chancer er mikroskopiske (her), er det irriterende, fordi angrebene belaster serveren.

Når det bliver mig for meget, blokerer jeg båtnakkens IP-adresse eller en hel gruppe af IP-adresser, hvis angrebet kommer fra en ormegård i Ukraine, Kina eller lignende.

På et tidspunkt bemærkede jeg et nyt mønster. Der kom 3-5 forsøg med et par sekunders mellemrum, dernæst en pause, og så 3-5 nye forsøg osv. Det nye var, at de 3-5 forsøg i rap kom fra forskellige IP-adresser og alle fra den amerikanske udbyder Dreamhost. I alt var der kun få forsøg fra hver adresse.

Det stod på i flere uger, og på den måde sprang angrebet ikke i øjnene, som når en IP-adresse prøver flere tusinde gange i rap, men det var for koordineret til at være tilfældigt.

Der blev brugt så mange IP-adresser, at en IP-blokering var helt urealistisk. Det skulle i givet fald være grupper af IP-adresser, som på det nærmeste ville formene hele Californien adgang.

Anmeldelsen

Læs resten →

Hackerne har travlt for tiden

9 svar

Forleden fik jeg mail fra min webhost. De advarede om, at hackerne er meget aktive for tiden, og det stemmer fint med mine egne observationer.

WordPress login Efter en periode med stilstand, hamrer hackerne igen på døren til min WordPress blog. Jeg bruger et plugin, Limit Login Attempts, til at give dem karantæne i 9999 timer, men forleden var der en robot, som slap forbi på en eller anden måde, og den prøvede at logge ind mere end 25.000 gange med 2 til 3 forsøg i sekundet.

Der skal væsentligt mere end 25.000 forsøg til at bryde mit password med rå vold, men det er irriterende, fordi det belaster serveren og giver lange svartider.

Fælles for hackerne er, at de bruger WordPress’ default brugernavn ”admin,” når de prøver at bryde ind ad fordøren. Så hvis du har en WordPress blog og bruger ”admin” som brugernavn, kan det stærkt anbefales at skifte det ud. Hvordan det gøres, kan du se her.

Den eneste måde at holde styr på, hvad der foregår, er at holde øje med sine logfiler. Som beskrevet på denne side, ”Program til analyse af websidens access log,” bruger jeg et hjemmestrikket Excel-program til at analysere logfilen og automatisk udtrække de relevante informationer.

Jeg har i dag uploadet en revideret version, hvor jeg har rettet en ubetydelig bug og tilføjet en facilitet, som laver en sorteret liste med antal requests fra de forskellige IP-adresser.

Så kan man straks se, om man er udsat for et brute force-angreb eller fx en robot, som støvsuger hjemmesiden for indhold og belaster serveren. Programmet kan downloades her. Se føromtalte side for beskrivelse.

Sikkerhed skal tages alvorligt. Det lærte jeg på den hårde måde.

Dette og hint

Historier, kommentarer, sprog, rejser og hvad der må komme.

Tag-arkiv: IP

Den diskrete hacker

Anmeldelsen