WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1896
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 124 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 132 keer

WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 19 Feb 2020, 09:28

Sinds gisterenavond krijg ik om de haverklap meldingen dat er vanaf diverse IP-adressen inlogpogingen zijn als gebruiker 'admin' op één van de websites die ik in beheer heb. Uit veiligheidsoverwegingen bestaat de gebruiker 'admin' niet.

De website zelf is voor zover ik weet niet zo bekend en heeft op zich een beperkt bereik.
Ik vind het daarom vreemd dat nu opeens hopen inlogpogingen komen en van IP-adressen wereldwijd.

Wat mis ik? Is er een website waarop lijsten staan van websites die mogelijks eenvoudig over te nemen zijn?
Ik leer graag bij...
Computer(k)nul

tien
Premium Member
Premium Member
Berichten: 689
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 27 keer
Uitgedeelde bedankjes: 45 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor tien » 19 Feb 2020, 09:33

In de loop van de week (gisteren of eergisteren) nog eens een bericht over vulnerability in bepaalde plugins. Mogelijk dat er daarmee weer eens veel pogingen zijn.

edit:
https://www.techzine.be/nieuws/security ... -websites/

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1896
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 124 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 132 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 19 Feb 2020, 09:37

Klopt, had ik ook gezien en nav. deze melding dit nagekeken.
Desondanks blijf ik het vreemd vinden dat een website met zo weinig bereik opeens zo aantrekkelijk wordt...
Computer(k)nul

Gebruikersavatar
cyberbug
Pro Member
Pro Member
Berichten: 320
Lid geworden op: 08 Okt 2005
Locatie: België
Bedankt: 27 keer
Uitgedeelde bedankjes: 17 keer
Contact:

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor cyberbug » 19 Feb 2020, 09:56

Dit is gewoon een hacerks/scammers groep die je webhosting/domain wil gebruiken om spam me te versturen en/of scam sites te hosten.

eerst doen ze via een speciale google zoek opdracht een zoektocht naar wordpress sites.
de lijst word dan via een botnet afgescanned op exploits of via bruteforce gepooged een admin login te bekomen.
eens binnen via admin of exploit gaan ze dan malafide plugins installeren omzo een backdoor te installeren wardoor ze je hosting (en eventueel domain) kunnen gebruiken voor malafiede zaken.

voor zulke groepen zal het worst wezen of de site populair is of niet.
ook zullen de pogingen van gans de wereld lijken te komen omdat dit via een botnet loopt...
Greetz cyberbug

Afbeelding

tien
Premium Member
Premium Member
Berichten: 689
Lid geworden op: 17 Apr 2019
Locatie: Attenhoven (Landen)
Bedankt: 27 keer
Uitgedeelde bedankjes: 45 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor tien » 19 Feb 2020, 10:04

Is hoogst waarschijnlijk niet gericht maar gewoon scannen. Zeer veel wordpress sites zijn helaas adminloos dus verwacht wel veel succes.
Eens ze weten dat je wordpress (of eender welke andere gebruikt) komen ze wel regelmatig kloppen.

rant tov de adminloze wp sites maar verwijderd, hoor je duidelijk niet toe :beerchug:

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1896
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 124 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 132 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 19 Feb 2020, 10:12

Ook DataNews schenkt er aandacht aan: Lek in plug-in maakt 100.000 WordPress-sites onveilig.
Computer(k)nul

on4bam
Elite Poster
Elite Poster
Berichten: 3613
Lid geworden op: 05 Mei 2006
Bedankt: 276 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 229 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor on4bam » 19 Feb 2020, 10:35

Op 2 WP sites die ik beheer zie ik niet direct een stijging van het aantal "attacks". Admin is een courante loginpoging maar die bestaat ook bij mij niet. Wat er wel veel gebeurt is proberen in te loggen met accountnamen van mensen die posts geschreven hebben. Ze staan allemaal gelogd met "wrong password". Niettegenstaande we al lang op WP zitten en onze Joomla site al meer dan een jaar niet meer actief is wordt nog steeds getracht naar specifieke joomla administrator URLs te gaan.

BTW, WPscan in een handige tool om lekke plugins op te sporen

Gebruikersavatar
krisken
Elite Poster
Elite Poster
Berichten: 19065
Lid geworden op: 07 Nov 2006
Twitter: kriskenbe
Locatie: Massemen - 91WET0
Bedankt: 955 keer
Uitgedeelde bedankjes: 1816 keer
Contact:

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor krisken » 19 Feb 2020, 14:42

Niks om je zorgen over te maken, je site is gewoon ontdekt bij een select groepje.
IK heb een week of 2 geleden een Mikrotik CHR online gebracht, en krijg per minuut tientallen inlogpogingen. Meestal met root, admin, Administrator, UBNT, Support, support, Helpdesk en helpdesk als login.

Internet = Orange 100/10Mbps + WirelessBelgië
Telefonie = EDPnet + OVH
GSM = Orange Intense Smartphone + Scarlet Red
TV = Orange + Netflix + Stievie
Netwerk = Mikrotik + Ubiquiti

CCatalyst
Elite Poster
Elite Poster
Berichten: 3090
Lid geworden op: 20 Jun 2016
Bedankt: 272 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 15 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor CCatalyst » 19 Feb 2020, 20:38

Je hebt idd enerzijds het constante achtergrondgeruis met pogingen, maar daarnaast heb je ook af en toe golven van extra activiteit. De reden daarvoor kan vanalles zijn, maar het is idd veelal doordat er net een nieuwe vulnerability gepubliceerd is waardoor ze nu meer kans maken op succes. Als ze niet binnen raken gaan ze meestal even snel weer weg als ze gekomen zijn. Niets om zorgen over te maken.

Website met weinig bereik is relatief. Wss sta je wel gemarkeerd in een databank als zijnde een Wordpress site, meer is er niet nodig. Geef op Shodan maar eens het IP in.

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1896
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 124 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 132 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 25 Feb 2020, 10:18

Bedankt voor de reacties. Ik heb me blijkbaar veel zorgen om weinig gemaakt.
Ondertussen heeft WordFence er zelf een blogartikel aan gewijd, zie Multiple Attack Campaigns Targeting Recent Plugin Vulnerabilities.
Computer(k)nul

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1896
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 124 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 132 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 3 weken 4 dagen 17 uur geleden (08 Mei 2020, 10:32)

Ik rakel deze draad toch even weer op.
Ik krijg nl. sinds gisteren verschillende inlogpogingen met peter.heldens of peter.heldens@live.nl als gebruikersnaam.
Die Peter Heldens blijkt effectief te bestaan, zie https://www.microsoft.com/nl-nl/overned ... cb72d9fbdf.
Anderen die dit fenomeen ervaren?
Computer(k)nul

Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 1203
Lid geworden op: 21 Nov 2004
Locatie: Hechtel-Eksel
Bedankt: 22 keer
Uitgedeelde bedankjes: 47 keer
Contact:

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor svermassen » 3 weken 4 dagen 17 uur geleden (08 Mei 2020, 10:44)

Bij verschillende Joomla!-sites merk ik de laatste maand ook een opstoot van zowel inlogpogingen als hack-pogingen.
Tevens pogingen tot misbruik van formulieren.
Die zijn goed beveiligd, maar ik zie dat in de loggins.

Gebruikersavatar
devilkin
Elite Poster
Elite Poster
Berichten: 2895
Lid geworden op: 17 Mei 2006
Twitter: jdeluyck
Locatie: Gent
Bedankt: 143 keer
Recent bedankt: 15 keer
Uitgedeelde bedankjes: 300 keer
Contact:

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor devilkin » 3 weken 4 dagen 17 uur geleden (08 Mei 2020, 10:59)

Oorzaak = er zitten teveel script kiddies zich thuis te vervelen?
Hacking farms die terug opstarten in bvb China na lockdown?
Orange Love Trio -- using Ubiquiti USG-3
Orange Dolphin & Proximus (corporate) -- Using OnePlus 6 (ROM: Stock)

konda
Premium Member
Premium Member
Berichten: 538
Lid geworden op: 06 Feb 2011
Bedankt: 51 keer
Uitgedeelde bedankjes: 13 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor konda » 3 weken 4 dagen 16 uur geleden (08 Mei 2020, 11:04)

Ik heb het zelfde mogen merken, heb er een bij ovh waar ik dan een feliciterend mailtje van krijg dat men site plots zo populair is.

CCatalyst
Elite Poster
Elite Poster
Berichten: 3090
Lid geworden op: 20 Jun 2016
Bedankt: 272 keer
Recent bedankt: 10 keer
Uitgedeelde bedankjes: 15 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor CCatalyst » 3 weken 4 dagen 15 uur geleden (08 Mei 2020, 12:33)

Gebruikelijk zie je een piek kort nadat er details over een een nieuwe vulnerability gepubliceerd zijn, omdat het dan ook het meest productief is om die pogingen te ondernemen.

devilkin schreef:Hacking farms die terug opstarten in bvb China na lockdown?


De gespecialiseerde draaien al een tijdje weer in China. De geautomatiseerde zijn nooit gestopt.

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1896
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 124 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 132 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor Sinna » 3 weken 4 dagen 15 uur geleden (08 Mei 2020, 12:48)

Misschien licht off-topic, maar heeft er iemand een (liefst gratis) WP-plugin die emailadressen zo de nek kan omdraaien dat ze niet meer machine-readable zijn maar wel nog human-readable (al dan niet met JavaScript)?
De meeste plugins die ik vind vervangen de mailto:-url door de HTML-encodering maar dat is dus maar schijnveiligheid.

Email Address Encoder ziet er veelbelovend uit, maar enkel in de premium-versie: $14 / site / jaar of eenmalig $69 / site vind ik nog redelijk, maar als je meerdere sites hebt loopt dat toch snel in de papieren. Eenmalig $295 lijkt mij dan weer behoorlijk aan de prijs.
Computer(k)nul

on4bam
Elite Poster
Elite Poster
Berichten: 3613
Lid geworden op: 05 Mei 2006
Bedankt: 276 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 229 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor on4bam » 3 weken 4 dagen 14 uur geleden (08 Mei 2020, 13:24)

Ik zie soms een hogere activiteit maar registreren lukt meestal niet. Aangezien registraties moeten goedgekeurd worden kan er weinig gebeuren. Zo 1tje per maand of twee is vlug verwijderd.
Ik zie wel regelmatig dat rechtstreeks URLs worden aangesproken, meestal om pas ontdekte gaten te misbruiken. Ik zie na bijna 2.5 jaar nog geprobeerd wordt om naar oude en dus onbestaande Joomla URLs te gaan.

Gebruikersavatar
thomasv
Premium Member
Premium Member
Berichten: 475
Lid geworden op: 01 Dec 2014
Locatie: Regio Zuid West-Vlaanderen
Bedankt: 51 keer
Uitgedeelde bedankjes: 16 keer

Re: WordPress, WordFence en mislukte inlogpogingen: waarom nu opeens en masse?

Berichtdoor thomasv » 3 weken 4 dagen 7 uur geleden (08 Mei 2020, 20:37)

Sinna schreef:Misschien licht off-topic, maar heeft er iemand een (liefst gratis) WP-plugin die emailadressen zo de nek kan omdraaien dat ze niet meer machine-readable zijn maar wel nog human-readable (al dan niet met JavaScript)?
De meeste plugins die ik vind vervangen de mailto:-url door de HTML-encodering maar dat is dus maar schijnveiligheid.

Email Address Encoder ziet er veelbelovend uit, maar enkel in de premium-versie: $14 / site / jaar of eenmalig $69 / site vind ik nog redelijk, maar als je meerdere sites hebt loopt dat toch snel in de papieren. Eenmalig $295 lijkt mij dan weer behoorlijk aan de prijs.



Cloudflare verbergt e-mail adressen.
Alternatief is contact formulier (aanrader, maar uiteraard te combineren met anti-spam maatregelen).

Login pogingen kan je extra te lijf gaan met 2 factor authenticatie plug-in. Zelfs al raden ze je wachtwoord (via brute force), dan worden ze nog gestopt.
 iPhone 11 Pro —  iPad (6th Gen) —  Apple TV 4K — Lenovo ThinkPad X1 Carbon


Terug naar “Algemeen Internet-Gebruik”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 2 gasten