Al ruim een jaar last van blogaanvallen vanaf 137.117.178.120

De titel van dit artikel zal duidelijk zijn. Al meer dan een jaar wordt vanaf 137.117.178.120 met enige regelmaat geprobeerd toegang tot dit blog te krijgen. Wat daarbij opvalt is dat de aanvaller ongehinderd door kan gaan. De houder van het IP adres, Microsoft, negeert dus alle  abuse meldingen.

Script of scriptkid?

Via deze link zijn ruim 700 meldingen van ongewenst gedrag door 137.117.178.120 te vinden. Het is niet de enige website waar klachten worden vergaard. Het totaal aantal meldingen –ontdubbeld, netto – zal dus nog hoger zijn.

De kans dat een persoon de overlast handmatig veroorzaakt is gering. De scope van de aanvallen, van brute-force inlog pogingen tot xmlrpc attacks, is eerder een indicatie voor een aantal scripts dat min of meer permanent draait. De hardnekkigheid lijkt daarbij te wijzen op iets anders dan een scriptkid. Die probeert niet meer dan een jaar het zelfde trucje, maar stapt vanzelf over naar iets anders. Omdat alle klachten WordPress gerelateerd zijn is dit dus waarschijnlijk een van de scripts die door cybercriminelen worden ingezet om de permanente stroom van spam en malware mogelijk te houden.

Blacklisted

Het zal niet verbazen dat 137.117.178.120 op meerdere blacklists voorkomt. De activiteit is hoog en de aanvallen beperken zich duidelijk niet tot een geografische regio. Een vaste plek op een blacklist is in dat geval zinvol. Maar het blijft raar dat Microsoft niet in staat is dit IP schoon te maken. Komt dat omdat het een te belangrijk adres is, waarachter een essentiële dienst hangt?

Meerwaarde 2FA

Het script probeert overigens in te loggen via de user “admin”. Dat is de standaard naam voor elke standaard WordPress installatie. Die moet dan ook zo snel mogelijk worden vervangen. Daarmee is de kans op een succesvolle bruteforce aanval al aanzienlijk verkleind.

De kans op ongevraagde bezoekers die lees/schrijfrechten wordt verder gereduceerd door het activeren van 2FA. Dan is de lol voor bijna alle scriptkiddies er snel van af. Daardoor wordt het dan weer makkelijker scripts als dat vanaf 137.117.178.120 te signaleren. Dat IP kan trouwens op htaccess niveau worden geweerd.

Share: