Wordpress Login per "GET" hacken?

jb_alvarado · 9. Juli 2021

Hallo Allerseits,
beim durchschauen von Apache access Logs ist mir aufgefallen, dass jemand versucht Wordpress nach Schwachstellen abzuklopfen.

Interessant dabei ist dieses Verhalten:

Code:

[09/Jul/2021:05:11:46 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:46 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:47 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:47 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:47 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:48 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:48 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...

Logins werden normalerweise mit Fail2Ban überwacht, allerdings nur POST Requests.

Meine Frage ist daher, kann man bei Wordpress den Login irgendwie mit einem GET Kommando knacken? Von meinem Verständnis her nicht, aber ich bin kein Hacker und frage mich daher was dahinter steckt.

Habt ihr hierzu eine Erklärung?

Natriumchlorid · 9. Juli 2021

Tauchen in den Logs nur GET-Commands auf?. Sofern es nur ein GET-Command ist, ruft er lediglich die Seite auf und versucht keine Daten zu senden (z.B. Credentials in einem POST-Command).

Für mich sieht es auf den ersten Blick danach aus, als würde ein Web-Fuzzer wie gobuster oder dirb laufen, um nach versteckten, aber öffentlichen Konfig-Files oder Ähnlichem zu suchen.

Alternativ wären da noch Cookies.
Wobei ich da auch nicht mehr fit bin. Mit geklauten Cookies, konnte man auch aktive Login-Sessions übernehmen, aber soweit ich weiß geht das heute mit den Browsern auch nicht mehr so einfach.

Loopman · 9. Juli 2021

Eventuell irgendwelche Scripts, die versuchen Schwachstellen auszulooten. Erst ausgiebig testen, dann nachher aktiv werden.

Alternativ irgendwelche Robots von Suchmaschinen....

Helge01 · 9. Juli 2021

Das ist eher eine "Bestandsaufnahme". Es wird getestet was da läuft und was davon generell erreichbar ist. Später werden dann gezielt Attacken ausgeführt.

Man möchte eben wissen ob WordPress darauf läuft, welche Plugins installiert sind und ob die Login Seite generell erreichbar ist. Wenn viele Sachen zutreffen steigt man im "Ranking" um bekommt immer mehr "Besuch".

jb_alvarado · 9. Juli 2021

@Natriumchlorid, in der Tat sind es nur GET Requests.

Da es innerhalb von 2 Minuten über 900 Anfragen auf die wp-login.php, von der gleichen IP aus sind, wird es schon was anderes als eine Suchmaschine sein.

@Helge01, meinst du dann, dass das noch automatisiert und zufällig abläuft, oder dass sowas schon gezielt gemacht wird um wirklich diese spezielle Wordpress Installation zu hacken?

Leider wird auf das Backend von verschiedenen Orten drauf zugegriffen, sonst hätte ich den Zugriff schon auf eine IP limitiert.

Helge01 · 9. Juli 2021

Das läuft automatisiert ab.

Suche

jb_alvarado

Lieutenant

Natriumchlorid

Lt. Junior Grade

Loopman

Rear Admiral

Helge01

Rear Admiral

jb_alvarado

Lieutenant

Helge01

Rear Admiral

Ähnliche Themen