我从以下地址获取了此 WordPress 登录暴力破解规则https://rules.emergingthreats.net/open/snort-2.9.0/rules/emerging-web_server.rules
警报 tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:“ET WEB_SERVER Wordpress 登录暴力破解检测”;flow:to_server,established;content:“/wp-login.php”;nocase;fast_pattern;http_uri;content:“POST”;http_method;content:“log|3d|”;http_client_body;content:“pwd|3d|”;http_client_body;阈值:类型两者,跟踪 by_src,计数 5,秒 60;classtype:attempted-recon;sid:2014020;rev:3;)
当我将其从“警告”更改为“拒绝”时,我无法登录。(它说连接已重置)我不太明白规则的含义。(我的理解是,在登录时,它会在 post/get 方法中查找 log 或 3d。查找 client_body pwd 3d。尝试侦察的意思是,有人在“探测”服务器)
当使用“拒绝”时,只有一个用户能够登录 wordpress。其他三个用户已"ERR_CONNECTION_RESET"在 Chrome 中登录。
更新更多信息
以下规则运行良好,并且不会阻止用户登录:
http://blog.inliniac.net/2007/03/20/new-wordpress-issue-modsecurity-rule/
拒绝 tcp $EXTERNAL_NET 任何 -> $HTTP_SERVERS $HTTP_PORTS (msg:“WORDPRESS wp-login.php redirect_to 凭据窃取尝试”;flow:to_server,已建立;uricontent:“/wp-login.php”;nocase;uricontent:“redirect_to”;pcre:“/redirect_to=(ht|f)tps?://iU”;classtype:web-application-attack;sid:4000003;rev:1;)
http://seclists.org/snort/2014/q3/856
拒绝 tcp $EXTERNAL_NET 任何 -> $HTTP_SERVERS $HTTP_PORTS (msg:“Wordpress Brute Force Login”;flow:to_server,established;content:“POST”;nocase;http_method;uricontent:“/wp-login.php”;nocase;content:“wp-submit”;nocase;classtype:web-application-attack;sid:90000100;rev:1;)
服务器在校内运行,教职工在校内登录被封了,我也尝试登录被封了,所以这是规则的问题吗?
答案1
我相当肯定 snort 会根据每个 IP 应用这些类型的规则,因此我最初的猜测是您在互联网和 Snort 之间存在某种反向代理,因此它会看到所有请求都来自同一个 IP,看到大量来自单个 IP 的登录尝试,并且会惊慌失措地认为有人试图暴力破解帐户密码。