WordPress Authenfication Bruteforcer

Malware Bruteforce Auth WordPress

Hier je suis tombé sur un malware relativement intéressant. Ce dernier créé une clef RUN : HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Google Update Services
Jusque là, des plus classiques.WP_Bruteforcer8 Au lancement, le malware se connecte sur l’adrese 74.121.150.39 sur le port 22501 afin d’y récupérer des informations. Ces dernières sont chiffrées. WP_Bruteforcer

  puis une série de POST s’ensuit. Les connexions sont assez rapides, ce qui peux saturer la machine. Comme on peux le constater, les connexions se font sur la page de Login de WordPress. WP_Bruteforcer2 WP_Bruteforcer3 WP_Bruteforcer4   On peux alors récupérer les tentatives de connexion : WP_Bruteforcer5 WP_Bruteforcer7 WP_Bruteforcer8 WP_Bruteforcer9 WP_Bruteforcer10 En Avril, sucuri avait alerté sur une attack Bruteforce sur WordPress :  http://blog.sucuri.net/2013/04/the-wordpress-brute-force-attack-timeline.html
Difficile de dire, si ce malware en est la source.
Les attaques par dictionnaires sont donc encore pas mal en vogue, d’où les conseils habituels de ne pas utiliser de mot de passe s’y trouvant 🙂 Sample : http://malwaredb.malekal.com/index.php?&hash=ba33f1dcf9c6caf114e3010afc68ddc4

EDIT 17 septembre

Pas mal de tentatives sur le site depuis quelques jours : Rewrite_Wordpress_bruteforce4 Ce qui est trop con, c’est que le bruteforce test l’user malekal, alors qu’il suffit de voir dans les articles postés que ce n’est pas celui que j’utilise …. Rewrite_Wordpress_bruteforce3 Comme ça me gonflait, j’ai mis en place un rewrite (c’est surtout l’objet de cet EDIT, ça peux aider ) qui permet bloquer les POSTs et n’autoriser qu’à des IPs ou classes d’IPs :

RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REMOTE_ADDR} !^83\.202\.[0-9]+\.[0-9]+
RewriteRule ^wp-login.php$ - [F]

On peut déclarer plusieurs lignes classe d’IPs avec plusieurs lignes REMOTE_ADDR. Du coup avec un proxy, tintin : Rewrite_Wordpress_bruteforce et pour moi, ça POST : Rewrite_Wordpress_bruteforce2 Ce qui donne des 403 sur les tentatives 🙂 WordPress_Bruteforce

EDIT – 20 Juillet : WordPress Bruteforcer de retour via wp.getUsersBlogs API

Hier soir j’ai noté une grosse attaque sur le forum :

wordpress_attack

Un POST sur /xmlrpc.php en utilisant la méthode wp.getUsersBlogs.
C’est donc à nouveau une tentative d’authentification.

wordpress_attack2La liste des IPs: http://www.malekal.com/download/xmlrpc_bruteforce_attack.txt
Environ 5000 IPs uniques.
Le dictionnaire utilisée pour l’attaque : http://www.malekal.com/download/xmlrpc_bruteforce_attack_dico.txt

EDIT – Authentification en deux étapes

Pas mal d’extension permet l’authentification en deux étapes par mail ou avec Google Authentificator.
Voir par exemple sur la page Google Authentificator.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 69 times, 2 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *