Webattacken Welle ohne Ende - KI koordiniert

[Ralph]

Momentan gehts richtig ab, in der Art wie es kurz vor Corona passierte, nur ausgefeilter und intensiver Dank AI.
Komplette Rechenzentren aus Indonesien u. Singapur die nur Attacken ausliefern sind am Start ... besonders auffällig auch:
Microsoft (gut 70% aller Attacken)
AWS
Googleusercontent
OVH
und seit AI Anbindung auch Facebook
u.v.m.

Stumpfsinnige Attacken auf Anwendungen die 301/302 Weiterleitungen verwenden auf nicht existierende Ziele, dictionary attacks und scanner ... dabei ist mir auch das hier aufgefallen:

Code: Select all

/wp-json/wp/v2/posts?_fields=content,title,link,date_gmt,modified_gmt&search=href&search_columns=post_content&per_page=100

Hängt den String mal an eine Wordpress Domain an und schaut euch das Ergebnis an ....
Muß denn ein Komma in einer URL zwingend durch den Apachen interpretiert werden oder ist das ein ganz besonderes Top Feature

Ich komme ja gar nicht mehr hinterher mit neuen Fail2ban Filtern

[Tobi7889]

Code: Select all

{"code":"itsec_rest_api_access_restricted","message":"You do not have sufficient permission to access this endpoint. Access to REST API requests is restricted by Solid Security settings.","data":{"status":401}}

Alles ganz entspannt

[Ralph]

Code: Select all

{"code":"itsec_rest_api_access_restricted","message":"You do not have sufficient permission to access this endpoint. Access to REST API requests is restricted by Solid Security settings.","data":{"status":401}}

Alles ganz entspannt

Es geht bei diesen URLs wohl darum die User (login names) abzufischen ... ist dann schon die halbe Miete bei dictionary attacks.
Bei den meisten WP Installationen ist die API nach außen aktiv und bei mir kommen da einige hundert Kunden WP Installationen in Frage, also ich blocke die vorerst via F2B
Alle derzeitigen Attacken lassen sich bis zu einer gewissen Anzahl an IPs blockieren, das ist aber genau der K(n)ackpunkt ... momentan gehe ich davon aus dass mind. 90% aller Verbindungen auf Attacken basieren.