ComputerBase Menü
Aktuelles

Wordpress Login per "GET" hacken?

J

jb_alvarado

Lt. Junior Grade
Registriert
Sep. 2015
Beiträge
492
Hallo Allerseits,
beim durchschauen von Apache access Logs ist mir aufgefallen, dass jemand versucht Wordpress nach Schwachstellen abzuklopfen.

Interessant dabei ist dieses Verhalten:

Code: 
[09/Jul/2021:05:11:46 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:46 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:47 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:47 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:47 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:48 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:48 +0200] "GET /wordpress/wp-login.php?redirect_to=https%3A%2F%2Fwww.wordpress.de%2Fwordpress%2Fwp-admin%2F&reauth=1 HTTP/1.0" 200 5568 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET / HTTP/1.0" 200 10689 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...
[09/Jul/2021:05:11:54 +0200] "GET /wordpress/wp-login.php HTTP/1.0" 200 3426 ...
[09/Jul/2021:05:11:54 +0200] "GET /wp-login.php HTTP/1.0" 302 679 ...

Logins werden normalerweise mit Fail2Ban überwacht, allerdings nur POST Requests.

Meine Frage ist daher, kann man bei Wordpress den Login irgendwie mit einem GET Kommando knacken? Von meinem Verständnis her nicht, aber ich bin kein Hacker und frage mich daher was dahinter steckt.

Habt ihr hierzu eine Erklärung?
 
Tauchen in den Logs nur GET-Commands auf?. Sofern es nur ein GET-Command ist, ruft er lediglich die Seite auf und versucht keine Daten zu senden (z.B. Credentials in einem POST-Command).

Für mich sieht es auf den ersten Blick danach aus, als würde ein Web-Fuzzer wie gobuster oder dirb laufen, um nach versteckten, aber öffentlichen Konfig-Files oder Ähnlichem zu suchen.

Alternativ wären da noch Cookies.
Wobei ich da auch nicht mehr fit bin. Mit geklauten Cookies, konnte man auch aktive Login-Sessions übernehmen, aber soweit ich weiß geht das heute mit den Browsern auch nicht mehr so einfach.
 
  • Gefällt mir
Reaktionen: jb_alvarado und madmax2010
Eventuell irgendwelche Scripts, die versuchen Schwachstellen auszulooten. Erst ausgiebig testen, dann nachher aktiv werden.

Alternativ irgendwelche Robots von Suchmaschinen....
 
  • Gefällt mir
Reaktionen: jb_alvarado
Das ist eher eine "Bestandsaufnahme". Es wird getestet was da läuft und was davon generell erreichbar ist. Später werden dann gezielt Attacken ausgeführt.

Man möchte eben wissen ob WordPress darauf läuft, welche Plugins installiert sind und ob die Login Seite generell erreichbar ist. Wenn viele Sachen zutreffen steigt man im "Ranking" um bekommt immer mehr "Besuch".
 
  • Gefällt mir
Reaktionen: BeBur und jb_alvarado
@Natriumchlorid, in der Tat sind es nur GET Requests.

Da es innerhalb von 2 Minuten über 900 Anfragen auf die wp-login.php, von der gleichen IP aus sind, wird es schon was anderes als eine Suchmaschine sein.

@Helge01, meinst du dann, dass das noch automatisiert und zufällig abläuft, oder dass sowas schon gezielt gemacht wird um wirklich diese spezielle Wordpress Installation zu hacken?

Leider wird auf das Backend von verschiedenen Orten drauf zugegriffen, sonst hätte ich den Zugriff schon auf eine IP limitiert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Pfandfinder
WordPress Website: Login nur über angesprochene php-Datei möglich
Antworten
1
Aufrufe
390
mfitzen
M
MaexxDesign
ComputerBase & hardwareLUXX Grafikkarten-Museum: ATI / AMD
2
Antworten
24
Aufrufe
6.971
andi_sco
andi_sco
Quafi
[VOIP/SIP] | Snom D785 & Telekom VoIP hinter NAT-Router registriert nicht
2
Antworten
35
Aufrufe
12.305
freshprince2002
freshprince2002
H
SSHD Defekte Sektoren - Deutung CrystalDiskInfo
Antworten
8
Aufrufe
2.267
Holt
H
M
Neue, unformatierte Seagate SkyHawk "rattert" (selbst im BIOS)
Antworten
6
Aufrufe
2.324
seagate_surfer
seagate_surfer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz