Crazy Bone ブルートフォースアタック(総当たり攻撃)が見えた!Sixcore でも油断するとやられます。

これは!でした。Sixcoreのサーバー側が対策したので大丈夫と思い込んでいました。が!きちんと?攻撃を受けています。

WordPressのブルートフォースアタック(総当たり攻撃)です。3月あたりから対策が必要と指摘されて、話題になっています。これはWordPressの脆弱性をついてきているワケでなく、adminをユーザーに設定している人がとっても多いことから、片っ端にバスワードを試す攻撃です。

ダイヤル錠を” 0000 ”から” 9999 ”まで全部回したら必ず解錠できます。これです。なので、パッチを当てることでは対策できず、ユーザーが「IDとパスワードを長くて複雑な組み合わせにする」対策しかありません。めんどくさいです。その気持ちを攻撃してくるのです。

海外IPアドレスからの管理画面アクセスを、Sixcoreは遮断しました。なので、安心していました。が、国内からも攻撃を受けていることがわかりました。ちょっと心配なので、さらに複雑なパスワードに変更します。

国外IPアドレス

2013年4月10日のリリースノートです。レンタルサーバー会社が国外IPアドレスからの管理画面アクセスを制限しました。国内からでも誤認識で「ログインできない」とちょっとした騒ぎになりました。

それほど海外からのアタックが多いということですよね、なので、ある意味 安心していました。

対策はした

” admin ”は使っておらず、ちょっと複雑なものにしており、パスワードは長くしており、そうそう突破されないつもりです。加えて、3回間違ったら、30分間ログインできないように「Login LockDown」プラグインを使って、設定しました。

Crazy Bone

関西アンカンファレンスにて、”頭ん中” @msngさんから、そんな対策では”お前のWordPressは死ぬよ”、admin意外のアタックも増えているから。「Crazy Bone」プラグインを使うと、自サイトのアタックログが見ることができるから!と教えてもらいました。

しかも、アップデートされ「ユーザー / パスワード」の記録もとってくれる優れものです。

インストールする時は、” 海外 IPアドレスの遮断対策は良い感じ ”となることを予想していました。

国内からアタック

結果は全く逆のものでした。Sixcoreの皆さん!アタック受けています!国内サーバーからアタックされていました。わずか、3日で885回です。Login LockDown プラグインを使っていなかったら、もっと多くなります。

「 admin 」を使っておられる方はいないと思いますが、たぷん。実際は「 administrator 」も攻撃されています!

Screenshot0520

Sixcoreさんの遮断フィルタの精度が悪い訳ではないので誤解しないでください。Crazy Boneの画面でも「日本」のIPアドレスと表示されています。

ものくろ おおひがしの思ったこと

まさかこれほどの数の国内サーバーからの攻撃があるとは!が正直な感想です。相当数のサーバーがクラックされている証です。もし、ログインされたらPHPからサーバーを乗っ取られてしまいます。なので、被害者から加害者になります。そうなると、もう” 終わり ”です。想像してください。今までの努力が全て無くなる瞬間を。

さらに、最近は辞書にある単語を総当たりしている例もあるとのことです。ドメイン名・著者情報など、コンテンツに埋め込まれた情報から効率良くもはや時間の問題攻撃されます。

私は乗っ取られるが嫌です。1Passwordを使って、ランダムなユーザーとパスワードに変更しました。

みなさんはどう感じられましたか?

パスワード管理に手放せなくなりました

1Password
カテゴリ: 仕事効率化, ユーティリティ

ものくろキャンプの講座・イベント ご参加お待ちしています!

シェア大歓迎

この記事が役に立ったり、参考になったり、読んで嬉しいと感じていただけたら、ぜひ下のボタンからシェアしてください。シェア・ツィートしていただけると、飛び跳ねるほど嬉しく、今後の記事作成の原動力になります。

大歓迎です!ぜひシェアしてください。


広告

こっそり感想を送信する

この記事を書いた人

ものくろ(Webコーチ)

株式会社あみだす 代表取締役 / 博士課程中退(農学) / ブロガー / Web&Blogコーチ / 親指シフト orzレイアウト開発者 / 講師 / フリーランス / 旅人 / 民事裁判経験者 / 毎月どこかに出張

ブログは月間65万PVを記録(2016年1月)。 これまでに250回を超えるワークショップ開催・のべ1,200名のブログサポートに携わる。

WordPressが得意 / 好きなもの(無刻印キーボード・十割蕎麦・湯葉)/ あまり好みでないもの(ブロッコリー・値切り)

開催している講座に参加する

この記事が気に入ったら
いいね!しよう

最新の情報をお届けします

あわせて読みたい

広告

Facebookを使うノウハウ公開中

農家・フリーランス・経営者向け SNS使いこなしセミナー (2018年1月版)の内容を全文公開中!

無料 メルマガ発行中

運営しているものくろキャンプの講座・イベント開催情報や、ちょっと役立つ情報をお届けしています。

ほぼ毎日発行しています。

Web・Blogコーチのご依頼はこちら

Web・ブログのコンサルティング・ご相談のご依頼を受け付けております。

  • Webを活用して本気でビジネス・人生を切り開きたい方
  • Webのテクニカルな改善でお悩みの方
  • アイディアはあるのに、記事の文章にするのがうまくいかない方
  • 親指シフトを本気で習得したい方

そんな多様なお悩み、そして、さらに隠れていて見えないお悩みも見つけます。

ダイレクトにアドバイス。そして、ご自身の問題解決力を手にしていただく時間を。このブログ2400記事をアウトプットした経験に基づく良質なノウハウ・スキルを手に入れてください。時間の大切さを感じてるあなたへオススメです。

ものくろキャンプ Web・Blogコーチ セッション

お申し込みはこちらのお問い合わせフォームからお願いします。

お申し込みはこちらのお問い合わせフォームからお願いします。

ものくろキャンプ イベント案内

ものくろキャンプの開催スケジュールはこちら

広告