Einloggversuche trotz Schutz per .htaccess

fraudiebels · 12.07.2015

Guten Tag allerseits,

ich habe bei einer Wordpressinstallation den Adminbereich per .htaccess folgendermaßen geschützt:

# Auth protect wp-login.php
<Files wp-login.php>
AuthName "Restricted Admin-Area"
AuthType Basic
AuthUserFile /home/www/xxxxx.de/.htpasswd
Require valid-user
</Files>

# Deny access to important files
<FilesMatch "(\.htaccess|\.htpasswd)">
Order deny,allow
Deny from all
</FilesMatch>

Ich habe zwecks Frühwarnung auch noch das Plugin „Limit Login Attempts“ installiert und bekam heute 2 Emails über Sperrungen wg. ungültiger Anmeldeversuche.

Im access_log finde ich zu den entsprechenden IPs solche Einträge:

- - [12/Jul/2015:12:30:26 +0200] "POST /xmlrpc.php HTTP/1.0" 200 402 "-" "-" www.xxxxx.de

Bedeutet das, dass man mit diesen xmlrpc Abfragen den Schutz auf Serverebene aushebeln kann?

Für Aufschlauung wär ich sehr dankbar!

tr4ze · 12.07.2015

Jein, das ist kein Einlogversuch.
xmlrpc.php ist die Datei die Aufgerufen wird. Die ist für deinen Feed und einige Ajax Sachen verantwortlich und ist standardmäßig von außen zu erreichen. Sie antwortet auch brav mit 200. Da der Request aber von einem unautorisierten Nutzer kommt gibts die 402 gleich hinterher.
Kein Problem also... bis jetzt!!!!!!
Wenn das allerdings ein Bruteforce Angriff ist wird irgendwann statt einer 402 da eine 200 stehen, und dann ist die Ka..e am dampfen.

HIer stehen genauere Infos und auch Gegenmaßnahmen -> https://www.saotn.org/huge-increase-wordpress-xmlrpc-php-post-requests/

netbandit · 13.07.2015

Hallo,

mit der xmlrpc.php kann noch einiges mehr gemacht werden, u.A. Beiträge/Seiten erstellen, div Daten von Usern abrufen usw.

https://codex.wordpress.org/XML-RPC_WordPress_API

Eignet sich also hervorragend für Einlogversuche.

Grüße

fraudiebels · 13.07.2015

@tr4ze @netbandit - vielen Dank für eure Infos!

Es ist kein Bruteforce Angriff - einzelne Versuche alle paar Stunden mit Nutzername „admin“ (den es natürlich nicht gibt

- Passwort ist auch lang und komplex)

Trotzdem habe ich jetzt über wp-config die xmlrpc-Schnittstelle abgeschaltet.

Mr_Quick · 13.07.2015

fraudiebels schrieb:
@tr4ze @netbandit - vielen Dank für eure Infos!

Es ist kein Bruteforce Angriff - einzelne Versuche alle paar Stunden mit Nutzername „admin“ (den es natürlich nicht gibt - Passwort ist auch lang und komplex)

Trotzdem habe ich jetzt über wp-config die xmlrpc-Schnittstelle abgeschaltet.

Kommen bei dir immer noch Anmeldeversuche durch?
So lese ich dieses nämlich.

Wenn deine .htaccess richtig geschrieben ist, dann müsste der Angreifer/Spambot schon an der ersten Hürde scheitern (AuthName "Restricted Admin-Area")

Bei mir kommt erst ein Anmeldefenster, wenn ich dort die richtigen Daten eintrage, komme ich erst zum tatsächlichen Login meiner Homepage.

Gruß

Mr_Quick

Panto-Tom · 13.07.2015

Hallo!

Oha!

Naja!

tr4ze · 13.07.2015

Mr_Quick schrieb:
Wenn deine .htaccess richtig geschrieben ist, dann müsste der Angreifer/Spambot schon an der ersten Hürde scheitern (AuthName "Restricted Admin-Area")

Na wieso denn das?
Die .htaccess dort oben schützt genau 3 Dateien, mehr nicht.
Die xmlrpc.php gehört nicht dazu, was in der Standardkonfig wohl von den Entwicklern auch so gewollt ist. Schließlich handelt es sich hier um eine Schnittstelle(Web-API) die mit der Aussenwelt kommunizieren soll(Its not a bug, its a feature).
Da ist ein Zugriff von aussen nichts ungewöhnliches.
Problematisch wirds wenn besonders viele (DDOS, wo in einem früheren WP Security Update schon gegengesteuert wurde. ) Anfragen kommen.
Oder versucht wird verschiedene User/Passwort Kombinationen durchzuprobieren.
Wer nur Useraccounts mit starkem Passwort und Usernamen verwendet braucht sich da nicht wirklich sorgen zu machen. Die Chance gehackt zu werden geht gegen Null.

Wen es trotzdem nervt, nimmt man halt die betreffende Datei mit in die .htaccess auf.
Beispielsweise in die AuthName "Restricted Admin-Area", was allerdings auch zu Komforteinbußen führen kann.

Besser währe es über Recent/Fail2ban ein kleines IDS auf dem Server selber zu Konfigurieren. Dafür brauchts aber Rootrechte oder einen netten Hoster der das macht.

Aber wie gesagt, wer sein System UptoDate hat, starke Kombinationen aus Usernamen und Passwort verwendet sollte sich nicht allzugroße Sorgen machen und das ganze als ganz normales Hintergrundrauschen abhaken.

fraudiebels · 13.07.2015

@Mr_Quick - nein, über wp-login.php kommt nix mehr durch, da ist die erste Authentifizierung wirksam vor.

Nur - wie ich schon schrieb - protokolliert das bei mir auch installiert Plugin "Limit Login Attempts" trotzdem ungültige Anmeldeversuche und macht IP-Sperrungen.

Beim Blick in die Logfiles erwiesen sich diese Anmeldeversuche als Versuche über die xmlrpc.php.

Allerdings mache ich mir inzwischen tatsächlich nicht mehr viele Gedanken - mein System ist nämlich UpToDate und das Passwort ist echt stark

Außerdem ist nach dem Eintrag in die wp-config.php eh Ruhe.

Mr_Quick · 14.07.2015

In diesem Falle habe ich deinen Text anfangs falsch verstanden bzw. interpretiert.

@tr4ze

Vielen Dank für die ausführliche Erläuterung.
Wenn ich aber diese Schnittstelle blockiere, kann man z.B.: nicht mehr bloggen oder dergleichen

@fraudiebels

Bei mir läuft ebenfalls das "Limit Login Attempts" , aber über diese Schnittstelle ist bis jetzt nichts aufgelistet worden

Mein System ist ebenfalls auf aktuellem Stand

tr4ze · 14.07.2015

Mr_Quick schrieb:
Vielen Dank für die ausführliche Erläuterung.
Wenn ich aber diese Schnittstelle blockiere, kann man z.B.: nicht mehr bloggen oder dergleichen

Bloggen sollte man schon noch können, nur halt nicht mehr per XML-RPC.
Am besten mal bei Wikipedia lesen was XML-RPC ist.
wird es kurz im Wordpress Kontext erklärt.

Wordpress selber braucht die Schnittstelle nicht, und wer seine Inhalte über das normale Backend im Browser pflegt kann das einfach abschalten.

Packt man die Schnittstelle allerdings in eine .htaccess (wie oben beschrieben) fragt der Server jedesmal nach einer Autorisierung, im schlimmsten Fall kommt keine Verbindung zu stande.