WordPressで、XMLRPCを使用した不正ログイン
「SiteGuard WP Plugin」、「SITEGUARD」の「ログイン履歴」に残っている不正ログインの試行の痕跡
2016年10月12日現在、WordPressにより構築したサイトが、テスト用のサイトを含めて6つ稼働しています。
テーマやプラグインの事前テスト用のサイトも含めて、セキュリティ関係、その他のプラグインは全て同じものを使用しています。
これらのプラグインの中で、不正ログイン対策用として使用しているのが「SiteGuard WP Plugin」。
今朝は、「SITEGUARD」の「ログイン履歴」を眺めていて、激しい不正ログインの試行の痕跡に出会いましたので紹介しておきます。
WordPressを使用したサイトへの不正ログインの試行、不正アクセスの試行は星の数ほどありますので、「SITEGUARD」のログイン履歴から調査したのは、下記の範囲に絞りました。
調査対象サイトは、https://blog.iwakuni.info/
調査対象期間は、2016年9月1日~10月12日
以下の例を見て頂けれはお判りになると思いますが、「ログイン名」、「パスワード」、「メールを利用した投稿の設定」などについては注意が必要です。
なお、私のサイトでは、現在の所、不正ログイン、不正アクセスで侵入されたことはありません。・・・ログには残っていません。
IPアドレス 120.27.107.165(中華人民共和国)からの執拗な不正ログインの試行
2016-09-02 18:24:40 ~ 2016-09-02 18:51:49
- 日時 2016-09-02 18:24:40 ~ 2016-09-02 18:51:49
- ログイン名 admin
- タイプ XMLRPC
- 不正ログイン試行回数 418回
- 試行頻度 3.9秒に1回
2016-09-02 18:51:50 ~ 2016-09-02 19:21:31
- 日時 2016-09-02 18:51:50 ~ 2016-09-02 19:21:31
- ログイン名 iwakuni
- タイプ XMLRPC
- 不正ログイン試行回数 396回
- 試行頻度 4.5秒に1回
2016-09-09 08:00:43 ~ 2016-09-09 08:19:00
- 日時 2016-09-09 08:00:43 ~ 2016-09-09 08:19:00
- ログイン名 admin
- タイプ XMLRPC
- 不正ログイン試行回数 449回
- 試行頻度 2.44秒に1回
2016-09-09 08:19:01 ~ 2016-09-09 08:37:12
- 日時 2016-09-09 08:19:01 ~ 2016-09-09 08:37:12
- ログイン名 iwakuni
- タイプ XMLRPC
- 不正ログイン試行回数 447回
- 試行頻度 2.44秒に1回
2016-10-01 21:25:05 ~ 2016-10-01 21:51:50
- 日時 2016-10-01 21:25:05 ~ 2016-10-01 21:51:50
- ログイン名 admin
- タイプ XMLRPC
- 不正ログイン試行回数 415回
- 試行頻度 3.86秒に1回
2016-10-01 21:51:51 ~ 2016-10-01 22:15:15
- 日時 2016-10-01 21:51:51 ~ 2016-10-01 22:15:15
- ログイン名 iwakuni
- タイプ XMLRPC
- 不正ログイン試行回数 434回
- 試行頻度 3.24秒に1回
IPアドレス 113.103.85.32(中華人民共和国)からの執拗な不正ログインの試行
2016-10-12 03:28:01 ~ 2016-10-12 03:45:30
- 日時 2016-10-12 03:28:01 ~ 2016-10-12 03:45:30
- ログイン名 admin
- タイプ XMLRPC
- 不正ログイン試行回数 451回
- 試行頻度 1.9秒に1回
2016-10-12 03:45:31 ~ 2016-10-12 03:57:06
- 日時 2016-10-12 03:45:31 ~ 2016-10-12 03:57:06
- ログイン名 iwakuni
- タイプ XMLRPC
- 不正ログイン試行回数 446回
- 試行頻度 1.55秒に1回
IPアドレス 195.154.237.108(フランス)から44ものログイン名を使った不正ログインの試行
試行頻度は4秒に1回ですし、不正ログインの試行の度に異なる「ログイン名」を使うとなると、プログラムを使っていると思います。
2016-09-06 02:30:06 ~ 2016-09-06 02:33:06
- 日時 2016-09-06 02:30:06 ~ 2016-09-06 02:33:06
- ログイン名 ftp、exchange、exchadm、domino、dmz、dell、default、compaq、cluster、clustadm、changeme、backupexec、backup、asdf123、administrator、admin、123asdf、12345678、1234567、iloveyou、adobe123、trustno、trustno1、azerty、princess、foobar、shadow、monkey、photoshop、letmein、123456、administrators@iwakuni.info、 administrator@iwakuni.info、www.iwakuni.info、wwwiwakuniinfo、webmaster@iwakuni.info、wakuni.info、iwakuni@iwakuni.info、admin@iwakuni.info、iwakuniinfo、www、iwakuni、元祖:田舎村、Admin、Admin
- タイプ XMLRPC
- 不正ログイン試行回数 45回
- 試行頻度 4秒に1回
不正ログインの試行に使用されたIPアドレス
上記の不正ログイン試行の他に、1回や2回で失敗して諦めたものも見掛けられますので、調査対象期間、2016年9月1日~10月12日に記録された全てを記載しておきます。
国名は割当て国ですが、不正を働く輩は、足跡が残る様なことはしませんので、記載した国以外の輩の仕業が殆どだと思います。
46.165.210.13 ドイツ
46.165.220.196 ドイツ
46.165.220.212 ドイツ
46.165.251.67 ドイツ
46.165.251.157 ドイツ
113.103.85.32 中華人民共和国
115.29.76.145 中華人民共和国
120.27.107.165 中華人民共和国
178.162.199.95 オランダ
178.162.211.214 ドイツ
178.162.211.226 ドイツ
178.162.211.232 ドイツ
188.163.107.154 ウクライナ
195.154.237.108 フランス
それにしても、ロシア、ポーランドが調査対象期間内には見当たりませんでしたが、「WP-Ban」プラグインの「*ru」と「*pl」の設定の効き目が現れているのでしょうか?
「SITEGUARD」の「XMLRPC防御」を「XMLRPC無効化」に設定
2016年10月12日現在、不正ログインされた痕跡はありませんが、私の全てのサイトの「SITEGUARD」の「XMLRPC防御」を、一応、「XMLRPC無効化」に設定しておきました。
なお、「SITEGUARD」の「XMLRPC防御」設定ページには、
XMLRPC全体を無効化すると、XMLRPCを使用したプラグインやアプリの使用ができなくなります。支障がある場合には、本機能を使わないでください。
と書かれていますので、無効にする場合は支障が現れないか注意が必要です。
2016/10/24追記
「SITEGUARD」の「XMLRPC防御」を「XMLRPC無効化」に設定してから本日(2016/10/24)jまで、XMLRPCを使用した不正ログインの試行は全く記録されていません。
「SITEGUARD」の「XMLRPC無効化」の効果はありますので、皆さんも自己責任で設定してみて下さい。