KeyHelp Community

Hallo,

sorry, es sgeht nicht unmittelbar um Keyhelp aber um Serveradministration. Vielleicht kann mir jemand helfen.

Seit einiger Zeit wird eine Domain zimelich massiv angegriffen via bruteforce auf eine WP-API-Schnittstelle. Der Angreifer wird da wahrscheinlich zwar nicht reinkommen aber es lastet den Server teilweise arg aus.

Fikgende Maßnahmen wurden bereits ergriffen:

Sperrung der angreifenden IPs via iptables. Die IPs ändern sich aber ständig.
Sperrung der entsprechenden Datei via .htaccess
Sperrung der IPs via .htacess
Abschaltung der API-Schnittstelle via unhooking in der functions.php

Die Angriffe gehen aber munter weiter. Ich selber kann die Schnittstelle gar nicht mehr aufrufen.

Habe daher einstweilenb die gesamte Domain abgeschaltet. Kann aber nichgt die Lösung sein.

Jemand ne Idee wie ich beispielsweise alle IPs, die innerhalb von einer Minute 10 mal auf die API zugreifen, automatisch via iptables blocken kann?

Grüße
Holger

Du könntest Dir das hier mal anschauen:
viewtopic.php?f=7&t=53&p=239&hilit=mod_evasive

Am einfachsten dürfte das gehen indem du der API Abfrage eine entsprechende Abfrage vor an stellt.

Sprich du loggst die Zugriffe in der Datenbank mit.
Das hilft aber nicht wenn der Angreifer seine IP nach zehn Angriffen ändern kann.

Ist es eventuell eine Option eine Whitelist zu pflegen?

Solche massiven Angriffe sind mir eher auf die xmlrpc bekannt. Könnte das vielleicht sein? Dann könnte man diese abschalten, so sie nicht benötigt wird. Ansonsten bräuchte man genauere Infos, um helfen zu können.
Ich nutze (falls der Server nicht schon über einen DDos-Schutz verfügt) ein weiteres externes Tool für die Absicherung der Wordpress-Installation. Das Problem dieser Lösungen ist aber immer, dass der Angriff bis zum Server durch kommt und sich erst dieser mit der Abwehr beschäftigt. Gerne mir mal eine PM senden.