twitterのハッシュタグ
#ハニーポット観察
を確認する限り、どうやらwordpressのログイン画面を狙った総当たり(ブルートフォース)が発生しているようです。

というわけで自分の壺を確認してみると、確かに相当な攻撃が確認出来たので集計してみました。以下が攻撃のサンプルになります。

POST /wp-login.php HTTP/1.1
Host: IPアドレス
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
Content-Length: 86
Content-Type: application/x-www-form-urlencoded
Cookie: wordpress_test_cookie=WP+Cookie+check
Accept-Encoding: gzip
Connection: close

log=&pwd=123&wp-submit=Log In&redirect_to=http://IPアドレス/wp-admin/&testcookie=1

中身については基本的にpwdの値を変えているのみでした。ので、今回の記事では言及しません。

利用環境

wowhoneypotを利用しています。
https://github.com/morihisa/WOWHoneypot

集計期間

2019年3月21日〜2019年3月29日

検索条件

URLにwp-login が含まれるもの

日毎集計

2019-03-210
2019-03-2253
2019-03-230
2019-03-240
2019-03-25128
2019-03-263,273
2019-03-270
2019-03-28278
2019-03-291,548

ちなみに、3月22日のwp-loginに対するアクセスは、パスワードの値は変更していますが、パスはすべて「/wp-login.php」に対するアクセスでした。

3月26日がかなり過激ですね、3273件って・・。

接続元IPアドレスについて

接続元のIPアドレスは668ありました。
特定のIPアドレスからの最高アクセス回数は36回、最低は1回でした。

マップにすると以下のような感じです。日本からのアクセスもありますね。

なお、日本からのアクセスには悪用された可能性がある日本の正規サイトもありました。

メソッドとパスとカウント

メソッドパスカウント
GET/wp-login.php788
POST/wp-login.php783
GET/testblog/wp-login.php107
GET/mysite/wp-login.php106
GET/forum/wp-login.php106
POST/myforum/wp-login.php105
POST/forum/wp-login.php105
GET/teststite/wp-login.php105
GET/test/wp-login.php105
GET/site/wp-login.php105
GET/myforum/wp-login.php105
GET/blog/wp-login.php105
POST/teststite/wp-login.php104
POST/testblog/wp-login.php104
POST/mysite/wp-login.php104
POST/2017/wp-login.php104
GET/news/wp-login.php104
GET/myblog/wp-login.php104
GET/2017/wp-login.php104
POST/test/wp-login.php103
POST/site/wp-login.php103
POST/blog/wp-login.php103
GET/wp1/wp-login.php103
GET/wp/wp-login.php103
GET/wordpress/wp-login.php103
GET/shop/wp-login.php103
POST/wp1/wp-login.php102
POST/wp/wp-login.php102
POST/wordpress/wp-login.php102
POST/shop/wp-login.php102
POST/news/wp-login.php101
POST/myblog/wp-login.php101
GET/2019/wp-login.php101
POST/2019/wp-login.php100
GET/1/wp-login.php100
GET/2018/wp-login.php99
POST/2018/wp-login.php98
POST/1/wp-login.php98

こうみると、基本は/wp-login.phpで通したいみたいですね。件数が圧倒的です。

まとめ

30日分のデータは確認していないのですが、そもそも攻撃の区切りなんていつになるかわかりませんし、一旦29日でまとめてみました。

総当たりをカモフラージュしたWPのインストール調査、という可能性もありますが、POSTでしっかり投げてくるあたり一応乗っ取るつもりで攻撃してきていると思います。

万が一、今回の攻撃に含まれているパスを利用している場合、せめてわかりにくいものに変更した方が良いですね。

プラグインを利用すればお手軽に変えることも出来ます。ただし、プラグインそのものの脆弱性もあるため、ご利用は計画的に。