WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1771
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 116 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 124 keer

WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 19 Feb 2020, 09:28

Sinds gisterenavond krijg ik om de haverklap meldingen dat er vanaf diverse IP-adressen inlogpogingen zijn als gebruiker 'admin' op één van de websites die ik in beheer heb. Uit veiligheidsoverwegingen bestaat de gebruiker 'admin' niet.

De website zelf is voor zover ik weet niet zo bekend en heeft op zich een beperkt bereik.
Ik vind het daarom vreemd dat nu opeens hopen inlogpogingen komen en van IP-adressen wereldwijd.

Wat mis ik? Is er een website waarop lijsten staan van websites die mogelijks eenvoudig over te nemen zijn?
Ik leer graag bij...
Computer(k)nul

tien
Premium Member
Premium Member
Berichten: 641
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 27 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 31 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor tien » 19 Feb 2020, 09:33

In de loop van de week (gisteren of eergisteren) nog eens een bericht over vulnerability in bepaalde plugins. Mogelijk dat er daarmee weer eens veel pogingen zijn.

edit:
https://www.techzine.be/nieuws/security ... -websites/

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1771
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 116 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 124 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 19 Feb 2020, 09:37

Klopt, had ik ook gezien en nav. deze melding dit nagekeken.
Desondanks blijf ik het vreemd vinden dat een website met zo weinig bereik opeens zo aantrekkelijk wordt...
Computer(k)nul

Gebruikersavatar
cyberbug
Pro Member
Pro Member
Berichten: 298
Lid geworden op: 08 Okt 2005
Locatie: België
Bedankt: 23 keer
Uitgedeelde bedankjes: 15 keer
Contact:

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor cyberbug » 19 Feb 2020, 09:56

Dit is gewoon een hacerks/scammers groep die je webhosting/domain wil gebruiken om spam me te versturen en/of scam sites te hosten.

eerst doen ze via een speciale google zoek opdracht een zoektocht naar wordpress sites.
de lijst word dan via een botnet afgescanned op exploits of via bruteforce gepooged een admin login te bekomen.
eens binnen via admin of exploit gaan ze dan malafide plugins installeren omzo een backdoor te installeren wardoor ze je hosting (en eventueel domain) kunnen gebruiken voor malafiede zaken.

voor zulke groepen zal het worst wezen of de site populair is of niet.
ook zullen de pogingen van gans de wereld lijken te komen omdat dit via een botnet loopt...
Greetz cyberbug

Afbeelding

tien
Premium Member
Premium Member
Berichten: 641
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 27 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 31 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor tien » 19 Feb 2020, 10:04

Is hoogst waarschijnlijk niet gericht maar gewoon scannen. Zeer veel wordpress sites zijn helaas adminloos dus verwacht wel veel succes.
Eens ze weten dat je wordpress (of eender welke andere gebruikt) komen ze wel regelmatig kloppen.

rant tov de adminloze wp sites maar verwijderd, hoor je duidelijk niet toe :beerchug:

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1771
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 116 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 124 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 19 Feb 2020, 10:12

Ook DataNews schenkt er aandacht aan: Lek in plug-in maakt 100.000 WordPress-sites onveilig.
Computer(k)nul

on4bam
Elite Poster
Elite Poster
Berichten: 3546
Lid geworden op: 05 Mei 2006
Bedankt: 272 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 226 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor on4bam » 19 Feb 2020, 10:35

Op 2 WP sites die ik beheer zie ik niet direct een stijging van het aantal "attacks". Admin is een courante loginpoging maar die bestaat ook bij mij niet. Wat er wel veel gebeurt is proberen in te loggen met accountnamen van mensen die posts geschreven hebben. Ze staan allemaal gelogd met "wrong password". Niettegenstaande we al lang op WP zitten en onze Joomla site al meer dan een jaar niet meer actief is wordt nog steeds getracht naar specifieke joomla administrator URLs te gaan.

BTW, WPscan in een handige tool om lekke plugins op te sporen

Gebruikersavatar
krisken
Elite Poster
Elite Poster
Berichten: 19002
Lid geworden op: 07 Nov 2006
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Bedankt: 950 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 1810 keer
Contact:

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor krisken » 19 Feb 2020, 14:42

Niks om je zorgen over te maken, je site is gewoon ontdekt bij een select groepje.
IK heb een week of 2 geleden een Mikrotik CHR online gebracht, en krijg per minuut tientallen inlogpogingen. Meestal met root, admin, Administrator, UBNT, Support, support, Helpdesk en helpdesk als login.

Internet = Orange 100/10Mbps + WirelessBelgië
Telefonie = United Telecom + OVH
GSM = Orange Koala Smartphone + Scarlet Red
TV = Orange + Netflix
Netwerk = Mikrotik + Ubiquiti

CCatalyst
Elite Poster
Elite Poster
Berichten: 2891
Lid geworden op: 20 Jun 2016
Bedankt: 254 keer
Recent bedankt: 28 keer
Uitgedeelde bedankjes: 14 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor CCatalyst » 19 Feb 2020, 20:38

Je hebt idd enerzijds het constante achtergrondgeruis met pogingen, maar daarnaast heb je ook af en toe golven van extra activiteit. De reden daarvoor kan vanalles zijn, maar het is idd veelal doordat er net een nieuwe vulnerability gepubliceerd is waardoor ze nu meer kans maken op succes. Als ze niet binnen raken gaan ze meestal even snel weer weg als ze gekomen zijn. Niets om zorgen over te maken.

Website met weinig bereik is relatief. Wss sta je wel gemarkeerd in een databank als zijnde een Wordpress site, meer is er niet nodig. Geef op Shodan maar eens het IP in.

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1771
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 116 keer
Recent bedankt: 4 keer
Uitgedeelde bedankjes: 124 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 25 Feb 2020, 10:18

Bedankt voor de reacties. Ik heb me blijkbaar veel zorgen om weinig gemaakt.
Ondertussen heeft WordFence er zelf een blogartikel aan gewijd, zie Multiple Attack Campaigns Targeting Recent Plugin Vulnerabilities.
Computer(k)nul


Terug naar “Algemeen Internet-Gebruik”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 1 gast