Gestori di siti - brute force attack

[Uno_qualunque]

Ciao,

per la verità non sono sicuro sia il posto giusto, in caso prego i moderatori di spostare dove ritengono più opportuno.

Il mio sitarello WP con cui supporto la gestione di un'associazione culturale, è tenuto aggiornato e con plugin di sicurezza per prevenire usi non leciti. Fra le varie misure è attiva quella che sospende l'utente che sbaglia login per 5 volte di seguito, per un quarto d'ora.

Tuttavia i miei log sono strapieni di ripetuti tentativi falliti e lock per accesso come "admin" (rimuovere il quale è stato una delle prime azioni), la cosa interessante è che vengono quasi tutti da IP italiani.

Mi sono messo a fare un po' di verifiche ed ho trovato che molti sono riconducibili a connessioni ADSL il cui router è aperto all'accesso da internet e nel caso di un provider in particolare, che la maggior parte dei suoi router non solo sono aperti al mondo esterno via HTTP, Telnet, SSH e HTTPS, ma che non esiste alcuna protezione per l'utente amministratore, consentendo quindi l'accesso come root.

Nel fare queste prove, ho poi trovato sui vari router i log di accesso del "vero attentatore" scoprendo per la maggior parte accessi come root da IP cinesi.

Ho cercato informazioni su questo provider via Whois e ho inviato una mail con vari log delle mie investigazioni, per sollecitarli a prendersi la responsabillità di "chiudere" un po' meglio gli apparati che consegnano ai (probabilmente ignari) loro clienti, senza aver ricevuto alcuna risposta...

Che ne pensate?

[Scialla]

Che hai fatto una gran cosa ma, purtroppo, a mio parere inutile in quanto i Cinesi "se ne fottono"
Hanno bombato anche una mia mail...

[Uno_qualunque]

Ma infatti, io non indirizzavo il provider sui cinesi, quanto piuttosto sul fatto che consegnano ai clienti router colabrodo, in cui uno_qualunque ( ) entra come root al primo tentativo...

[faxus]

... Ho cercato informazioni su questo provider via Whois e ho inviato una mail con vari log delle mie investigazioni, per sollecitarli a prendersi la responsabillità di "chiudere" un po' meglio gli apparati che consegnano ai (probabilmente ignari) loro clienti, senza aver ricevuto alcuna risposta...
Che ne pensate?

È perfettamente inutile.

Non lo sanno neanche ed è colpa dei siti ospitati, spesso fatti da dilettanti o utenti poco accorti che si fanno bucare.

A mio parere cinque tentativi di login sbagliati sono troppi.
Io chiudo i miei accessi per due ore, bannando l'IP, al primo tentativo errato.

Non so se c'è qualcosa per Wordpress conto i tentativi di intrusione, semmai mettilo.
Ma se hai avuto degli attacchi bruteforce alla password di login probabilmente hai avuto in precedenza scalate alle utenze.
Aggiorna quantomeno a Php 5.4 il server, per evitare in futuro questo tipo di attacchi molto diffusi

[Uno_qualunque]

Qui siamo ancora più indietro, secondo me sono connessioni casalinghe o small-office, a cui consegnano apparecchi completamente aperti, cavolo... infatti meditavo di contattare (se riesco a trovare dati) uno degli utenti, piuttosto che il provider e lasciare che siano loro a protestare....