Αντιμετώπιση log-in attempts από bots σε Wordpress

[-21grams]

Η ιστορία έχει ως εξής:
Πριν λίγες μέρες εγκατέστησα ένα (πολύ απλό, σχεδόν υποτυπώδες) plug-in που αποστέλλει e-mail στον διαχειριστή κάθε φορά που κάποιος [Administrator, Editor, Author, Contributor, Subscriber] συνδέεται ή επιχειρεί να συνδεθεί σε Wordpress powered site.
Τα αποτελέσματα με εξέπληξαν. Κοιμόμουν τον ύπνο του δικαίου.
Εν τω μεταξύ τα (κακόβουλα) bots δούλευαν και δουλεύουν ακατάπαυστα.
Rude awakenings! Μέσα σε μία μόλις εβδομάδα το inbox μου δέχθηκε γύρω στα 1300 μηνύματα.
Σχεδόν 170 προσπάθειες πρόσβασης ανά ημέρα!
Με εξαίρεση 2-3 legitimate users και την αφεντιά μου, όλα τα υπόλοιπα αφορούσαν στοχευμένες επιθέσεις προερχόμενες (βάσει των IPs) από servers που έχουν (ή θα έπρεπε να έχουν) γίνει blacklisted.

Συνηθέστερα user names τα "admin" (σε ποσοστό >95%) με τα "root", "support" καθώς και το πρώτο συνθετικό του ονόματος του site να ακολουθούν.
Αναζητώντας λύση στο πρόβλημα κατέληξα στο WordPress Simple Firewall το οποίο περιλαμβάνει πολλές παραμέτρους και θα μπορούσε να περιγραφεί καλύτερα ως «σουίτα».
Το προτίμησα γιατί μου φάνηκε λιγότερο πολύπλοκο σε σχέση με άλλα security related plug-ins και κυρίως γιατί -σύμφωνα με τους developers- δεν επεμβαίνει στα *ενδότερα* όπως το .htaccess που θεωρείται κομβικής σημασίας (εν ολίγοις, αν κάτι πάει στραβά, καταρρέει το σύμπαν!)
Κάτι που αντικατοπτρίζεται και στα reviews στα οποία δεν υπάρχουν αναφορές για accidental lockdowns κλπ των καθόλα νόμιμων χρηστών/διαχειριστών εν αντιθέσει με ανταγωνιστικά plug-ins.

Ενεργοποιώντας το "Login Protection" απαλλάχθηκα από ένα μέρος των επιθέσεων, δυστυχώς όχι το μεγαλύτερο.
Αποτρέπονται όλα τα Remote Logins (όσα bots δηλαδή τρέχουν κάποιο script χωρίς να βρίσκονται καν στο [site name] wp-login.php) ενώ υπάρχει και ένα Javascript “I'm a human” checkbox.
Για κάποιο λόγο (ανεπαρκές configuration;) εξακολουθούν να διαφεύγουν όσοι προσπαθούν να μπουν ως "admin" δηλ. η πλειοψηφία.



Θα μπορούσα φυσικά να θέσω σε λειτουργία και το Firewall συμπληρώνοντας παράλληλα την IP Blacklist, αλλά αφενός φοβάμαι μήπως γίνει καμιά στραβή και κλειδωθώ κι εγώ έξω και αφετέρου θα πρέπει να δεσμεύσω ολόκληρα ranges διευθύνσεων. Αφήστε που μπορεί να αλλάξουν ανά πάσα στιγμή.

Spoiler:

Αναφέρω δύο χαρακτηριστικά παραδείγματα κακόβουλων servers - μιλάμε για καταστάσεις hammering:
146.0.7xx.xxx
93.61.xxx.xxx

Το 'χει δουλέψει κανένας από εσάς το εν λόγω plugin;
Τι μου προτείνετε; Υπάρχει καλύτερη λύση;

[Greg61]

Στο hosting τί δικαιώματα έχεις;
Βλέπεις πχ το /var/www/vhosts/ ?
Άν όχι, ποιό είναι το root directory που σου επιτρέπουν να βλέπεις;

[-21grams]

Πλήρη δικαιώματα φαντάζομαι (ως ιδιοκτήτης, διαχειριστής κλπ)
Το path που αναφέρεις πάντως, /var/www/vhosts/, δεν το βλέπω στα directories
Θα έπρεπε;

Άνοιξα καμιά 500άρια από τα mail αναφορών για failed logins και έκανα copy/paste τις IPs σε μια λίστα (ΧΕΙΡΟΚΙΝΗΤΑ παρακαλώ) την οποία και εισήγαγα στο Firewall του WordPress Simple Firewall.
Πρόκειται φυσικά για single IPs και όχι ranges κατά συνέπεια δεν έχει μεγάλη αποτελεσματικότητα παρότι κάποιες από αυτές επανεμφανίζονταν.
Παραθέτω την λίστα η οποία περιλαμβάνει -μέχρι στιγμής- 163 IP addresses:

Spoiler:

117.169.1.170
118.244.255.12
141.105.66.179
146.0.73.133
146.0.73.135
146.0.73.15
146.0.73.156
146.0.74.170
146.0.74.202
146.0.74.204
146.0.74.206
146.0.74.208
146.0.74.212
146.0.77.95
146.0.78.8
146.0.78.9
146.0.79.23
146.0.79.34
159.20.158.55
185.30.91.138
188.114.169.103
195.162.69.58
202.171.253.74
37.57.231.112
5.39.218.153
5.39.218.220
5.39.218.37
5.39.219.25
5.39.221.39
78.4.100.170
78.4.135.14
78.4.139.254
78.4.140.122
78.4.164.70
78.4.168.202
78.4.169.150
78.4.172.182
78.4.176.138
78.4.186.158
78.4.189.170
78.4.231.158
78.4.239.246
78.4.61.122
78.4.65.54
78.4.70.66
78.5.120.118
78.5.169.182
78.5.212.218
78.5.227.130
78.5.234.26
78.5.247.170
78.5.249.246
78.5.250.2
78.5.47.6
78.5.72.102
78.5.97.214
78.6.1.210
78.6.107.126
78.6.112.222
78.6.117.150
78.6.138.70
78.6.163.186
78.6.165.110
78.6.176.86
78.6.177.190
78.6.18.82
78.6.190.218
78.6.200.26
78.6.202.126
78.6.211.226
78.6.229.102
78.6.252.146
78.6.46.14
78.6.5.98
78.6.55.226
78.6.58.166
78.6.58.254
78.6.94.2
78.6.99.182
78.7.1.18
78.7.104.194
78.7.106.134
78.7.146.46
78.7.148.226
78.7.192.130
78.7.194.198
78.7.215.230
78.7.215.250
78.7.224.214
78.7.240.114
78.7.28.42
78.7.50.114
78.7.60.190
78.7.62.22
78.7.63.246
78.7.65.90
78.7.75.30
78.7.76.142
78.7.76.182
78.7.85.2
78.7.87.178
80.147.47.190
82.215.150.28
83.103.5.180
85.157.3.218
87.244.157.193
89.96.104.197
89.96.105.160
89.96.60.24
89.96.92.110
89.97.112.159
89.97.116.57
89.97.94.121
89.97.95.27
91.200.12.51
93.51.213.31
93.51.213.45
93.54.1.48
93.54.28.115
93.54.29.140
93.54.29.76
93.54.29.96
93.54.30.167
93.54.40.142
93.54.47.183
93.54.48.108
93.54.54.116
93.54.63.154
93.54.63.234
93.54.65.142
93.54.7.134
93.54.7.168
93.54.87.17
93.54.90.32
93.54.93.12
93.54.97.193
93.54.97.28
93.61.104.155
93.61.108.156
93.61.109.21
93.61.109.58
93.61.110.141
93.61.110.90
93.61.112.145
93.61.30.26
93.61.33.207
93.61.50.81
93.61.51.67
93.61.58.142
93.61.70.160
93.61.72.211
93.61.75.198
93.61.76.131
93.61.76.201
93.61.76.240
93.61.84.179
93.61.85.193
93.61.85.200
93.61.85.251
93.61.97.9
93.61.99.10
93.61.99.13
94.32.160.94

Επειδή όπως καταλαβαίνετε, έτσι δεν κάνουμε δουλειά, τελικά ενέδωσα και προσάρμοσα το .htaccess μέσω του cPanel και συγκεκριμένα της επιλογής Security / IP Address Deny Manager όπου και προσέθεσα ολόκληρα ranges, βλ. screenshot:



Το θέμα είναι πως αν συνεχιστεί η κατάσταση θα υποχρεωθώ να εφαρμόσω ακόμα πιο αυστηρά φίλτρα, καταλήγοντας κατ' αυτό τον τρόπο να μπλοκάρω ολόκληρες χώρες!
Αντί δηλαδή για 146.0.73.x [που κόβει 255 IPs και δεν είναι δα και τραγικό], θα αναγκαστώ να πάω στο 146.0.x.x

Σκέτη ταλαιπωρία
Δεν είναι πολύ απλούστερο να απαγορευτεί η είσοδος σε οποιονδήποτε επιχειρεί να εισέλθει ως "admin" ανεξαρτήτως IP;
(ώστε να έχουν κανονικά πρόσβαση όσοι τυγχάνει να έχουν IP με κοινό στους bot servers range)

[Greg61]

Έχεις πμ

[-21grams]

[Αφού ευχαριστήσω τον Γρηγόρη για την συνεισφορά & τον χρόνο που διέθεσε ]
Επανέρχομαι στο θέμα.
Υπάρχει ένα κοινό γνώρισμα σε ότι αφορά τις πηγές των μη-εξουσιοδοτημένων προσπαθειών σύνδεσης ή/και υποβολής SPAM comments:
Τα κακόβουλα bots φιλοξενούνται σχεδόν κατ' αποκλειστικότητα [σε ποσοστό >90%] σε servers 2 Ιταλικών hosts, των albacom.net (πλέον BT Italia) και fastweb.it, περιβόητων στην piazza για την αδιαφορία -αν όχι ενθάρρυνση- που επιδεικνύουν στις αμέτρητες αναφορές περί bruteforce attacks, spamming κλπ
Πολλοί οι παθόντες και ανάλογος ο αριθμός των άρθρων, δημοσιεύσεων κλπ όσων αναζητούν λύση.
Σε ένα από αυτά, παρατίθενται -πρόσφατα, άρα και ενημερωμένα/έγκυρα- ολόκληρα blocks IP διευθύνσεων τα οποία άπαξ και συμπεριληφθούν στο .htaccess αρχείο μειώνουν τον όγκο των επιθέσεων στο ελάχιστο.
Θα αποκλείσουμε την πρόσβαση από ένα σεβαστό κομμάτι της γειτονικής χώρας, αλλά τι να κάνουμε. Ας μην επέτρεπαν την ασυδοσία και τους επιβεβαιωμένα κακόβουλους χρήστες οι εταιρείες...

Αυτό που απομένει τώρα, είναι η ορθή σύνταξη ή πιο σωστά συγχώνευση των IP addresses.
Από την μία μεριά έχουμε single entries και από την άλλη ranges.
Επιτρέπεται να μπουν κατ' αυτόν τον τρόπο («χύμα») ή θα δημιουργηθεί πρόβλημα;
Ακολουθεί παράδειγμα με πραγματικές τιμές:

Κώδικας:

# BAN USER BY IP
<Limit GET POST>
 order allow,deny
 allow from all

 deny from 121.134.105.146
 deny from 146.0.73.0/24
 deny from 146.0.74.0/24
 deny from 146.0.77.0/24
 deny from 146.0.78.0/24
 deny from 146.0.79.0/24
 deny from 195.154.230.132
 deny from 195.62.224.0 - 195.62.255.255
 deny from 212.165.32.0 - 212.165.47.0
 deny from 5.133.56.0 - 5.133.63.255
 deny from 5.39.218.0/24
 deny from 5.39.219.0/24
 deny from 5.8.96.0 - 5.8.127.255
 deny from 62.94.0.0 - 62.94.255.255
 deny from 62.94.13.0 - 62.94.13.255
 deny from 62.94.13.0 - 62.94.13.255
 deny from 62.94.203.152 - 62.94.203.159
 deny from 78.4.0.0 - 78.7.255.255
 deny from 81.208.120.0 - 81.208.120.255
 deny from 81.208.17.0 - 81.208.17.127
 deny from 81.208.29.0 - 81.208.29.255
 deny from 81.208.82.0 - 81.208.82.127
 deny from 81.208.93.0 - 81.208.93.255
 deny from 82.85.164.0 - 82.85.164.63
 deny from 83.103.17.128 - 83.103.17.255
 deny from 83.137.232.0 - 83.137.239.255
 deny from 83.211.0.0 - 83.211.255.255
 deny from 83.211.10.0 - 83.211.10.255
 deny from 83.211.11.0 - 83.211.11.255
 deny from 83.211.84.0 - 83.211.84.255
 deny from 85.104.79.10
 deny from 85.18.173.0 - 85.18.173.127
 deny from 89.96.0.0 - 89.97.255.255
 deny from 93.32.0.0 - 93.62.236.159
 deny from 93.63.0.0 - 93.63.0.255
 deny from 93.63.1.0 - 93.63.1.255
 deny from 93.63.60.0 - 93.63.60.255
 deny from 94.32.0.0 - 94.39.255.255
</Limit>

Θα προτιμούσα διαφορετική ταξινόμηση συνοδευόμενη με αντίστοιχα σχόλια και διακριτούς ρόλους προς διευκόλυνση μελλοντικών ενημερώσεων.
π.χ.

Κώδικας:

# Block albacom.net
<Limit GET POST>
 order allow,deny
 allow from all
 deny from [ακολουθούν τα IP blocks που αντιστοιχούν στην albacom.net]
</Limit>
# Block fastweb.it
<Limit GET POST>
 order allow,deny
 allow from all
 deny from [ακολουθούν τα IP blocks που αντιστοιχούν στην fastweb.it]
</Limit>
# Block single IPs
<Limit GET POST>
 order allow,deny
 allow from all
 deny from [μεμονωμένες διευθύνσεις]
</Limit>

Καλά το πάω ή θα μου μείνει στο χέρι;
Αν δεν βαριέστε, επισημάνατε που θα πρέπει να ανοίγουν και κλείνουν τα tags μην πάθουμε καμιά ζημιά και τρέχουμε...
Ευχαριστώ.

[Greg61]

Δέν ξέρω άν θα σου δουλέψει έτσι αλλά, κατά την δοκιμασμένη άποψή μου δεν το πάς καλά.
Για παράδειγμα, το 'deny from 94.32.0.0 - 94.39.255.255' γράφεται σύμφωνα με το CIDR 'deny from 94.32.0.0/13'.
Υπάρχει ένα εργαλείο που υπολογίζει τα CIDR εδώ: http://ipduh.com/el/ip/cidr/

όταν εντοπίσεις μιά ip που σ' ενοχλεί, πχ '83.211.11.10', την τσεκάρεις εδώ http://ipduh.com/el/ip/whois/ και βρίσκεις οτι ανήκει στο cidr '83.211.0.0/18', οπότε προσθέτεις την εγγραφή 'deny from 83.211.0.0/18'.
Εγώ παίρνω δραστικότερα μέτρα: Κλείνω ολόκληρο το 83.211.0.0/16, αφου τσεκάρω οτι και το υπόλοιπο κομμάτι 83.211.128.0/18 ανήκει στην Ιταλία, δεδομένου οτι το δικό μου target group είναι Έλληνες / μπαίνουν απο Ελλάδα.

Τα tags <Limit GET POST HEAD> ... </Limit> τα ανοίγεις μιά φορά κι όχι συνέχεια. Μπορείς να χρησιμοποιήσεις σχόλια με το '#':

<Limit GET POST HEAD>
order allow,deny
allow from all

# Block albacom.net
deny from [ακολουθούν τα IP blocks που αντιστοιχούν στην albacom.net]

# Block fastweb.it
deny from [ακολουθούν τα IP blocks που αντιστοιχούν στην fastweb.it]
..........
κλπ

Πιό πρακτική όμως βρίσκω την απόλυτα αριθμητική κατάταξή τους, ιδιαίτερα άν έχεις κανα-δυό και βάλε χιλιάδες εγγραφές.

Πχ:

Κώδικας:

deny from 5.133.0.0/16
deny from 5.135.0.0/16
deny from 5.138.0.0/16
deny from 5.144.0.0/16
deny from 5.146.0.0/16
deny from 5.149.0.0/16
deny from 5.150.0.0/16
deny from 5.153.0.0/16
deny from 5.157.0.0/16
deny from 5.158.0.0/16
deny from 5.162.0.0/16
deny from 5.164.0.0/16
deny from 5.166.0.0/16
deny from 5.172.0.0/16
deny from 5.175.0.0/16
deny from 5.178.0.0/16
deny from 5.189.0.0/16
deny from 5.196.0.0/16
deny from 5.199.0.0/16
deny from 5.199.0.0/16
deny from 5.248.0.0/16
deny from 5.250.0.0/16
deny from 5.254.0.0/16
deny from 5.255.0.0/16
deny from 6.0.0.0/7
deny from 8.0.0.0/7
deny from 10.0.0.0/8
deny from 11.0.0.0/8
deny from 12.0.0.0/7
deny from 14.0.0.0/8
deny from 15.0.0.0/8 # Hewlett-Packard
deny from 16.0.0.0/8 # Hewlett-Packard
deny from 17.0.0.0/8 # Apple Computer Inc
deny from 18.0.0.0/8
deny from 19.0.0.0/8
deny from 20.0.0.0/8
deny from 21.0.0.0/8
deny from 22.0.0.0/8
deny from 23.0.0.0/8
deny from 24.37.0.0/16
deny from 24.38.0.0/16
deny from 24.49.0.0/16
deny from 24.57.0.0/16
deny from 24.102.0.0/16
deny from 24.105.0.0/16
deny from 24.114.0.0/16
deny from 24.144.0.0/16
deny from 24.160.0.0/13
deny from 24.168.0.0/15
deny from 24.170.0.0/17
deny from 24.184.0.0/14
deny from 24.188.0.0/14
deny from 24.207.0.0/17
deny from 24.248.0.0/13
deny from 27.4.0.0/14
deny from 27.8.0.0/13

Δέν χρειάζεσαι κενά μπροστά απ' το 'deny'. Δουλεύει μιά χαρά και χωρίς αυτά.