オンプレミスウェブサーバー、いわゆる自宅サーバー上のこのWordPressへの
ログイン試行・失敗ログとNGFW残っているIPS(不正侵入防御)ログをご参考までにご報告。
9月初めに出そうと思ってたら全然できてないという……。
レンタルサーバー側WordPressのログイン試行ログ
hk-networks[.]com側のWordPressについて。
今回は8月1日~8月31日までのログイン試行・不正アクセスデータを紹介。
管理者入力ミスは失敗件数から抜いてあります。(計算のための備考として書いてます。)
| 月 | 総アクセス数 | ログイン (正常) | 失敗件数 (不正) | 管理者が普通 にミス回数 | 備考 |
| 8月 | 146 | 4 | 142 | 0 |
海外アクセス制限をやめた関係で不正アクセス試行増えている模様。と思ったものの
IP自体は国内もまあまああるので関係ないかもぉ~……
ちなみに今年の総計データ(上記の分も合算)
| 総アクセス数 | ログイン (正常) | 失敗件数 (不正) | 管理者が普通 にミス回数 | 備考 | |
| 2024年 1月~8月累計 | 205 | 22 | 183 | 10 |
こっちは投稿者で表示されている「hk-operator」を使ってログイン試行がされています。
当然、投稿者IDとログインIDは別物にしてあります。
(さらに投稿者と管理者分けて運用してます。)
オンプレサーバ側WordPressのログイン試行ログ
blog.hk-networks[.]com側のWordPressについて。
こちらも8月1日~8月31日までのログイン試行・不正アクセスデータです。
※管理者入力ミスは失敗件数から抜いてあります。(計算のための備考として書いてます。)
| 月 | 総アクセス数 | ログイン (正常) | 失敗件数 (不正) | 管理者が普通 にミス回数 | 備考 |
| 8月 | 844 | 7 | 837 | 0 |
そして同じく今年の総計データ(上記の分も合算)
| 総アクセス数 | ログイン (正常) | 失敗件数 (不正) | 管理者が普通 にミス回数 | 備考 | |
| 2024年 1月~8月累計 | 4,256 | 40 | 4,216 | 15 |
こんな一桁アクセス数のWordPressでもこんなに侵入しようとしてくるので
インターネットは危ないYO!(いつもの)
使われてるアカウント名を参考までにご紹介:
「admin」「wwwadmin」「wadminw」「test」
NEW「http」「https」
これらの安易なアカウント名は使われることなさそうですが
引き継ぎで使ってるありえる…のか?
あとなんでhttp?
NGFW IPSの検知ログ
8月検知数と検知カテゴリスクショ
※file-flashが出まくってるのはなぜかCall of Dutyのアップデートをしたら
FILE-FLASH Adobe Flash Player domain security bypass attempt を検知しまくったため。
検知内容概要
※FILE-FLASH Adobe Flash Player domain security bypass attemptはおそらくCoD更新時の誤検知
検出例1
(一番上は誤検….etc.)
8月の特徴的なログ
送信国別カウント
米国が多いのは上の通り誤検知のせいだと思われ
IPSのログデータは以上~
WAF簡易ログ
WAF検出・ブロック処理をした
アクセス元IPアドレス数:333 IPアドレス
ブロックアドレス数:4993 回
レポート画面のイメージ(多すぎて1ページで表示できてない)
詳細なログデータ多すぎて分析しきれないですね……
まあまあ誤検知もありそうなのですが、IPアドレスで検索すると
悪意あるアクセス元としてリスト入りしていたりするのでしっかり処理出来ているようです。
結論:インターネットは怖い8月号
WAF導入でログ爆増しておりやばすぎる。
お~こわいこわい……
第一週中に9月分ログ上げたいもののだめそう
コメント