Et kig på egne serverlog og overvejelser om sikkerheden

Konstante opdateringer

WordPress og lignende komplekse systemer kræver kontinuerlige opdateringer hvis de skal forblive sikre. Selve WordPress er åbenbart sikker ifølge ekspertisen men plugins har adgang til det underliggende system og mange er åbenbart af dårlig kvalitet og usikre.

WordPress er så udbredt at det er et populært mål for hackere. Derfor skal der udvises forsigthed med hvad der installeres og både WordPress og plugins & temaer bør altid holdes opdateret. Ubrugte plugins og temaer bør fjernes. Inaktive brugere fjernes osv.

Det er omfattende arbejde som de færreste har kræfter til. En service aftale bør overvejes.

Lidt inspiration fra ISOS logs

Der har ikke været en WordPress installation i dette system i mange år, og alligevel bliver serveren skannet mange gange daglig. Jeg antager andres servere er udsat for samme slags skan.

Et udsnit af serverlog kan du se nedenunder. IP-adressen tilhører en tjeneste isos.dk bruger kaldet Cloudflare og ikke den BOT der vises her. Bemærk POST hvor man prøver at skrive til et script og alle GET hvor man tester forskellige aspekter af WordPress. Dette er nok til at give de fleste dårlige nerver :) , men jeg er rolig da jeg ikke benytter WordPress her.

172.71.16.193 - - [10/Oct/2022:13:49:51 +0200] "GET / HTTP/1.1" 200 3571 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

172.68.18.119 - - [10/Oct/2022:13:49:51 +0200] "POST /ALFA_DATA/alfacgiapi/perl.alfa HTTP/1.1" 404 486 "www.google.com" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

172.68.18.119 - - [10/Oct/2022:13:49:52 +0200] "POST /alfacgiapi/perl.alfa HTTP/1.1" 404 485 "www.google.com" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

172.71.16.193 - - [10/Oct/2022:13:49:52 +0200] "GET /wp-content/plugins/apikey/apikey.php?test=hello HTTP/1.1" 404 485 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

172.71.16.193 - - [10/Oct/2022:13:49:53 +0200] "GET /plugins/content/apismtp/apismtp.php?test=hello HTTP/1.1" 404 485 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

172.71.16.193 - - [10/Oct/2022:13:49:54 +0200] "GET /wp-content/plugins/apikey/apikey.php.suspected?test=hello HTTP/1.1" 404 485 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

172.71.16.193 - - [10/Oct/2022:13:49:55 +0200] "GET /plugins/content/apismtp/apismtp.php.suspected?test=hello HTTP/1.1" 404 485 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

172.70.110.35 - - [10/Oct/2022:13:54:43 +0200] "GET /.env HTTP/1.1" 404 490 "-" "Mozilla/5.0 (Linux; U; Android 4.4.2; en-US; HM NOTE 1W Build/KOT49H) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 UCBrowser/11.0.5.850 U3/0.8.0 Mobile Safari/534.30"
            
          

En lille del af af loggen. Der er mange flere forsøg hver dag.

Isos.dk fail2ban - der blokerer IP adresser når de prøver noget der giver serverfejl, viser lige nu 180 blokerede IP-adresser på 2 døgn. Jeg synes det er meget når isos.dk blot er en lille server. (Efter tur med hunden på 30 min er der 5 flere IP-adresser i fail2ban fælden)

Kontakt

J. Andersen Lobato
Email: [email protected]
Smedevænget 45, 8464 Galten
Tlf.: 6047 8448

Vi bor i Østjylland og dækker Jylland og Fyn.