• Atak wp-login

    From =?UTF-8?B?UHJ6ZW15c8WCYXcgQWRhbSDFm@1:0/0 to All on Fri Jun 28 08:29:15 2013
    Cześć,

    mam atak wp-login na serwery Worpdpress. Szukałem rozwiązań i pojawia
    się modsecurity

    Wydedukowałem takie coś:


    <IfModule mod_security2.c>

    SecAuditEngine On
    SecAuditLog /var/log/apache2/audit.log
    SecAuditLogParts ABCDEFGHZ

    SecDebugLog /var/log/apache2/modsec_debug.log
    # SecDebugLogLevel 9

    # This has to be global, cannot exist within a directory or
    location clause . . .
    SecAction phase:1,pass,initcol:IP=%{REMOTE_ADDR},initcol:USER=%{REMOTE_ADDR},ctl:debugLog Level=9
    <Location /wp-login.php>
    # Setup brute force detection.

    # React if block flag has been set.
    SecRule USER:bf_block "@gt 0"
    "deny,status:401,log,msg:'IP address blocked for 5 minutes, more than 15
    login attempts in 3 minutes.'"

    # Setup Tracking. On a successful login, a 302
    redirect is performed, a 200 indicates login failed.
    SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:IP.bf_counter=0"
    SecRule RESPONSE_STATUS "^200" "phase:5,chain,t:none,nolog,pass,setvar:IP.bf_counter=+1,deprecatevar:IP.bf_cou nter=1/180"
    SecRule IP:bf_counter "@gt 15" "t:none,setvar:USER.bf_block=1,expirevar:USER.bf_block=300,setvar:IP.bf_counter =0"

    SecRule REQUEST_METHOD "@streq POST" "chain,id:'1',phase:2,t:none,block,log,msg:'Warning: Direct Login
    Missing Referer.'"
    SecRule REQUEST_FILENAME "@pm /wp-login.php /wp-admin/" "chain"
    SecRule &REQUEST_HEADERS:Referer "@eq 0"
    </location>
    </IfModule>


    Jednak tak magicznie się dzieje, że w audit.log widzę takie błędy:


    --6daec172-H--
    Message: Could not set variable "IP.bf_counter" as the collection does
    not exist.
    Message: Could not deprecate variable "IP.bf_counter" as the collection
    does not exist.
    Apache-Handler: application/x-httpd-php
    Stopwatch: 1372400799778690 192611 (- - -)
    Producer: ModSecurity for Apache/2.5.12 (http://www.modsecurity.org/).
    Server: Apache


    a tu już jakoś jakby google milczą albo ja coś źle pytam... Co mu dolega?


    --
    Przemysław Adam Śmiejek

    Niech żadne nieprzyzwoite słowo nie wychodzi z ust waszych,
    ale tylko dobre, które może budować, gdy zajdzie potrzeba,
    aby przyniosło błogosławieństwo tym, którzy go słuchają. (Ef 4,29)

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: Organizacja Przeciwko Zdrowym =?UTF-8?B?Wm15c
  • From Yuras@110:300/1.1 to All on Mon Jul 1 13:16:52 2013
    W dniu 28.06.2013 08:29, Przemysław Adam Śmiejek pisze:
    Cześć,

    mam atak wp-login na serwery Worpdpress. Szukałem rozwiązań i pojawia
    się modsecurity

    Wydedukowałem takie coś:


    <IfModule mod_security2.c>

    SecAuditEngine On
    SecAuditLog /var/log/apache2/audit.log
    SecAuditLogParts ABCDEFGHZ

    SecDebugLog /var/log/apache2/modsec_debug.log
    # SecDebugLogLevel 9

    # This has to be global, cannot exist within a directory or location
    clause . . .
    SecAction

    phase:1,pass,initcol:IP=%{REMOTE_ADDR},initcol:USER=%{REMOTE_ADDR},ctl:debugLog Level=9

    <Location /wp-login.php>
    # Setup brute force detection.

    # React if block flag has been set.
    SecRule USER:bf_block "@gt 0" "deny,status:401,log,msg:'IP address
    blocked for 5 minutes, more than 15 login attempts in 3 minutes.'"

    # Setup Tracking. On a successful login, a 302 redirect is performed, a
    200 indicates login failed.
    SecRule RESPONSE_STATUS "^302" "phase:5,t:none,nolog,pass,setvar:IP.bf_counter=0"
    SecRule RESPONSE_STATUS "^200"

    "phase:5,chain,t:none,nolog,pass,setvar:IP.bf_counter=+1,deprecatevar:IP.bf_cou nter=1/180"

    SecRule IP:bf_counter "@gt 15"

    "t:none,setvar:USER.bf_block=1,expirevar:USER.bf_block=300,setvar:IP.bf_counter =0"


    SecRule REQUEST_METHOD "@streq POST" "chain,id:'1',phase:2,t:none,block,log,msg:'Warning: Direct Login
    Missing Referer.'"
    SecRule REQUEST_FILENAME "@pm /wp-login.php /wp-admin/" "chain"
    SecRule &REQUEST_HEADERS:Referer "@eq 0"
    </location>
    </IfModule>


    Jednak tak magicznie się dzieje, że w audit.log widzę takie błędy:


    --6daec172-H--
    Message: Could not set variable "IP.bf_counter" as the collection does
    not exist.
    Message: Could not deprecate variable "IP.bf_counter" as the collection
    does not exist.
    Apache-Handler: application/x-httpd-php
    Stopwatch: 1372400799778690 192611 (- - -)
    Producer: ModSecurity for Apache/2.5.12 (http://www.modsecurity.org/). Server: Apache


    a tu już jakoś jakby google milczą albo ja coś źle pytam... Co mu
    dolega?




    Nie lepiej czymś takim to rozwiązać?

    http://wordpress.org/plugins/better-wp-security/

    --

    [ # chown -R us ./base ]

    Pozdrowienia,
    Yuras

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: CI TASK http://www.task.gda.pl/ (110:300/1.1@linuxnet)
  • From =?UTF-8?B?UHJ6ZW15c8WCYXcgQWRhbSDFm@1:0/0 to All on Mon Jul 1 13:26:17 2013
    W dniu 01.07.2013 13:16, Yuras pisze:
    Nie lepiej czymś takim to rozwiązać?

    http://wordpress.org/plugins/better-wp-security/


    Nie, bo tych worpressów atakowanych jest N, do tego nie w zasięgu admina serwera.


    --
    Przemysław Adam Śmiejek

    Niech żadne nieprzyzwoite słowo nie wychodzi z ust waszych,
    ale tylko dobre, które może budować, gdy zajdzie potrzeba,
    aby przyniosło błogosławieństwo tym, którzy go słuchają. (Ef 4,29)

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: Organizacja Przeciwko Zdrowym =?UTF-8?B?Wm15c
  • From Zbych@110:300/1.1 to All on Mon Jul 1 20:23:57 2013
    W dniu 01.07.2013 13:26, Przemysław Adam Śmiejek pisze:
    W dniu 01.07.2013 13:16, Yuras pisze:
    Nie lepiej czymś takim to rozwiązać?

    http://wordpress.org/plugins/better-wp-security/


    Nie, bo tych worpressów atakowanych jest N, do tego nie w zasięgu admina serwera.

    Jeśli logowanie do WP masz z ograniczonej puli adresów IP, to może prościej będzie wrzucić reguły dostępu do .htaccess?


    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: Multimedia Polska SA (110:300/1.1@linuxnet)
  • From =?UTF-8?B?UHJ6ZW15c8WCYXcgQWRhbSDFm@1:0/0 to All on Mon Jul 1 20:59:35 2013
    W dniu 01.07.2013 20:23, Zbych pisze:
    W dniu 01.07.2013 13:26, Przemysław Adam Śmiejek pisze:
    W dniu 01.07.2013 13:16, Yuras pisze:
    Nie lepiej czymś takim to rozwiązać?

    http://wordpress.org/plugins/better-wp-security/


    Nie, bo tych worpressów atakowanych jest N, do tego nie w zasięgu admina >> serwera.

    Jeśli logowanie do WP masz z ograniczonej puli adresów IP, to może prościej będzie wrzucić reguły dostępu do .htaccess?

    No dobra, ale to nadal jest obchodzenie problemu, czemu nie działa mi modseurity i co oznacza ów cytowany błąd. Oczywiście inne pomysły są cenne, ale znów z IP to odpada, bo różni webscy majstrzy z różnych
    miejsc się logują. Choć jest to do przemyślenia ogólnie. Ale i tak wartało by dojść Co Nie Tak Z ModSecurity


    --
    Przemysław Adam Śmiejek

    Niech żadne nieprzyzwoite słowo nie wychodzi z ust waszych,
    ale tylko dobre, które może budować, gdy zajdzie potrzeba,
    aby przyniosło błogosławieństwo tym, którzy go słuchają. (Ef 4,29)

    --- MBSE BBS v0.95.15 (GNU/Linux-x86_64)
    * Origin: Organizacja Przeciwko Zdrowym =?UTF-8?B?Wm15c