당사의 서버 호스팅 제공업체는 당사 서버에서 발생하는 원치 않거나 악의적인 웹 http 요청과 관련하여 당사에 연락했습니다. 그들이 우리에게 준 메시지는 다음과 같습니다.
- 블록 유형: 새로운 금지
- 시간: 2015-10-01 17:26:23-07:00
- 포트: 80
- 서비스: http
- 대상 범위: ip
- 대상 URL: wp-login.php
- 사용자 에이전트: Mozilla/5.0(Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0
- 전송된 GET/POST 매개변수: pwd, wp-submit, testcookie, log
어떤 웹사이트나 스크립트가 요청을 보냈는지 어떻게 알 수 있나요? 위 정보에 대한 모든 로그 파일을 확인했지만 기록을 찾을 수 없거나 잘못된 로그 파일을 확인했을 수 있습니다. 어떤 종류의 도움을 주셔서 감사합니다.
우리 서버가 Linux CENTOS 6 운영 체제와 함께 설치되어 있다는 사실을 잊어버렸습니다. 이 요청은 당사 서버에서 이루어지며 WordPress 웹사이트에 대한 것입니다. 즉, 당사 웹사이트 내의 모듈이 특정 정보를 얻기 위해 다른 웹사이트에 로그인을 요청하거나 시도할 수 있음을 의미합니다.
답변1
Unix 및 Linux Stack Exchange 사이트에 게시하셨기 때문에 문제의 서버가 Linux 또는 BSD 변형이라고 가정합니다. 사용자 에이전트 문자열은 Windows 운영 체제를 의미합니다. 요청을 하는 다른 웹사이트가 아니라, 요청을 하는 것은 서버에서 실행되는 프로그램(스크립트 또는 실행 파일)입니다. 전송된 GET/POST 매개변수는 WordPress 로그인과 일치합니다. 내 결론은 귀하의 서버가 해킹되었을 수 있으며 해커가 파일 또는 파일 세트의 모든 비밀번호와 사용자 ID를 사용하여 WordPress 사이트에 로그인을 시도하는 프로그램인 WordPress 로그인 추측기를 실행했다는 것입니다.
귀하가 우리에게 제공한 작은 정보를 고려할 때, 로그인 추측자를 찾기 시작하라고 어디서 말해야 할지조차 모르겠습니다. 추가 도움이 필요하면 질문을 편집하여 더 많은 정보를 추가하시기 바랍니다.