Apache2 Botgenerierte Einbruchsversuche auf Wordpress Seiten blockieren

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
Draal
Beiträge: 690
Registriert: 11.03.2005 14:45:26

Apache2 Botgenerierte Einbruchsversuche auf Wordpress Seiten blockieren

Beitrag von Draal » 12.09.2024 19:37:07

Kurios.

Heute Vormittag hab ich, wie jeden Tag, auf meinem NAS eine Update Anfrage gestellt. Da alles aktuell, habe ich mich zum Benutzer abgemeldet.
Wie üblich stelle ich die Abfrage pstree, um zu sehen ob auch alle Server laufen.
Danach führe immer top aus, um zu sehen, ob es ungewöhnlich hohe Lasten bei den Prozessen gibt.
Ich stellte ungewöhnlich hohe Lasten beim Apache2, php und mysql fest. Ich ging wieder auf root und it dem auf /var/log/apache2
Dort führte ich

Code: Alles auswählen

tail -F access.log aus
Es offerierte sich mir, dass scheinbar ein Bot aus Singapur versuchte meine Webseiten zu infiltrieren (2 Zugriffe pro Sekunge).
Später kam dann noch einer aus Bulgarien hinzu (3 Zugriffe pro Sekunde).
Beide sind auf die Wordpress Login Seite losgegangen (POST).

Ich habe jetzt beide IPs per iptables geblockt.

Das habe ich in all den Jahren, die ich diese Webseiten hoste, noch nie beobachten können.

Gibt es ein Paket, dass solche Vorgänge registriert und meldet?

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Apache2 Botgenerierte Einbruchsversuche auf Wordpress Seiten blockieren

Beitrag von cosinus » 12.09.2024 19:41:32


Benutzeravatar
Draal
Beiträge: 690
Registriert: 11.03.2005 14:45:26

Re: Apache2 Botgenerierte Einbruchsversuche auf Wordpress Seiten blockieren

Beitrag von Draal » 12.09.2024 20:42:55

Vielen Dank!

Damit werde ich mich wohl befassen müssen. :x

Derzeit nutze ich den https://wordpress.org/plugins/user-spam-remover auf einer Seite, bei der man sich anmelden kann. Die Anmeldung erfordert eine Authorisation per zugeschickter E Mail. Wird diese nicht bestätigt, wandert der Account nach 4 Wochen in den Müll. Aber das eine hat ja mit dem anderen weniger zu tun.

Benutzeravatar
whisper
Beiträge: 3379
Registriert: 23.09.2002 14:32:21
Lizenz eigener Beiträge: GNU Free Documentation License
Kontaktdaten:

Re: Apache2 Botgenerierte Einbruchsversuche auf Wordpress Seiten blockieren

Beitrag von whisper » 13.09.2024 09:36:46

fail2ban ist sehr komplex, aber es gibt gute jails, die du anpassen kannst.
Guck mal hier, da habe ich ziemlich zeitnah meine Jails geschrieben
https://www.daucity.de/de/tools/fail2ban
Aktuell ist viel los
5007
Alter ist übrigens keine Ausrede, nur Erfahrung, die sich stapelt. 😉

Benutzeravatar
cosinus
Beiträge: 4202
Registriert: 08.02.2016 13:44:11
Lizenz eigener Beiträge: GNU General Public License
Wohnort: Bremen

Re: Apache2 Botgenerierte Einbruchsversuche auf Wordpress Seiten blockieren

Beitrag von cosinus » 13.09.2024 09:45:26

Draal hat geschrieben: ↑ zum Beitrag ↑
12.09.2024 20:42:55
Damit werde ich mich wohl befassen müssen. :x
Du kannst dir alternativ auch selbst was basteln, zB regelmäßig nach "failed" oder so in der /var/log/auth.log greppen und die Ausgabe nach mailx umleiten um dir das per Mail zu schicken. Dann kannst du bei Bedarf iptables selbst erweitern.

Antworten