カテゴリー
security Synology WordPress

[Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する – △ID3611 [2020/03/20]

[Synology] Threat Preventionが検知したWordPressへの連続Loginアタックは全てIPアドレスが異なっているBrute Force Attack – reCAPTCHAプラグインで対策する – △ID3611 [2020/03/20]
Post Views: 67

スポンサーリンク: ID6183593457

Threat Preventionとは

Synologyのパッケージ「Threat Prevention」は、IT業界における一般的な名称は、「侵入検知システム (IPS: Intrusion Prevention System)」です。

スポンサーリンク
  • オムロン BY50S用パック by Amazon ID:22171
  • オムロン BY50S by Amazon ID22170
  • Synology 高機能無線ルーター 800Mbps + 1,733Mbps(11a/b/g/n/ac対応) 高セキュリティ VPN Plus対応 RT2600ac by Amazon ID24327
  • エレコム LANケーブル CAT6A 5m 爪折れ防止コネクタ ホワイト LD-GPA/WH5 by Amazon ID24327

攻撃を受けた

スポンサーリンク
by Rakuten ID:15895

Threat Preventionのログを眺めていると、少し怖いログが残っていました。調べてみると、Brute-Force-Attackと呼ばれる不正にアカウントを取得する総当たり攻撃であることがわかりました。

Threat Preventionでは、アラート処理に留まっており、ドロップしていないことがログよりわかりました。何かの対応策が必要です。

参考
ブルートフォースアタックとは?実験から分かる危険性と有効な4つの対策

https://japan.norton.com/brute-force-attack-9215

スポンサーリンク: ID4219953367

攻撃内容

その内容は、18:30から始まり、44分間で35回のWordPress Longin が試みられていて、どれも異なるIPアドレスからでした。

最初は1分間隔で、後半は2分間隔の攻撃で、ログには、”ET POLICY Cleartext WordPress Login”とあり、以下の図の様に実行されていました。

WordPressには、時間と回数によるセキュリティは掛けていました、IPアドレスが異なると機能しなはずです。

35回程度でPWを破られることは無いと思われますが、2段階認証(2ステップ認証)も導入しておかないと危険であると判断しました。

2019/11/24 はりきり(Mr)

CAPTCHの導入を考える

このような攻撃に対処するreCAPTCHAプラグインをWordPressにインストールすることにしました(2019/11/24)。

追記 (2019/11/24)

Brute-force attack (参考1)と呼ばれるアカウント取得のハッキングのようです。多くのHTTP Brute Force Attack Toolは、ネット上に存在するポートが空いているプロキシサーバーのリストをもとに、そこを中継して攻撃をしてくるため、IP Addressが異なることが多いようです。

このため、このプロキシサーバーのリストにあるIP Addressを全てブロックできればよいようですが、個人そこまでできません。

デバイスCookie

既知および未知のブラウザまたはデバイスからの認証試行を個別にロックアウトすることも検討できます。 デバイスCookieを使用したオンライン推測攻撃のスローダウンの記事(参考2)では、特定のブラウザーが既にログインに使用されているかどうかに関する情報に基づいて、ロックアウトメカニズムのプロトコルを提案しています。 このプロトコルは、単純なアカウントのロックアウトよりもDoS攻撃の影響を受けにくく、効果的で実装が容易です。

CAPTCHAの使用

よくある写真で自転車だけ選びなさいとか言うやつです。パズルもありますね。

最終的に、GoogleのreCAPTCHAを利用するWordPressのPlugin “Login No Captcha reCAPTCHA”をインストールしました。インストール方法は、TechMemoさんをご参照ください。

Amazonに行く

スポンサーリンク
Synology DiskStation DS918+ [クアッドコアCeleron J3455 1.5GHz CPU搭載] 4ベイNASキット by AMAZON – ID14279

参考1

Blocking Brute Force Attacks

https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks

参考
デバイスCookieを使用したオンライン推測攻撃の速度を落とす

https://owasp.org/www-community/Slow_Down_Online_Guessing_Attacks_with_Device_Cookies

参考3

ブルートフォース攻撃のブロック

https://translate.google.co.jp/translate?hl=ja&sl=en&u=https://www.owasp.org/index.php/Blocking_Brute_Force_Attacks&prev=search

スポンサーリンク: ID6183593457

編集履歴

2020/03/20 文言整備、用語整備、参考サイトの整備

関連記事

plugin, Synology, WordPress
[WordPress] スパム・コメント対策にreCaptchaプラグイン – 更に、「Statify」/ 「SiteGuard WP」でログイン画面の守りを固める – セキュリティ対策△

Post Views: 548 -ID4929 [2021/09/17] スポンサーリンク: ID6183593457 はじめに 自前NASにWordPressを導入してblogを発信していることを前提にしています。Sy […]

スポンサーリンク
  • 【Amazon.co.jp 限定】HP USBメモリ 128GB USB 3.1 スライド式 金属製 HPFD796L-128 GJP by Amazon - ID 24751
  • 3Dプリンター ダヴィンチ Jr. 1.0(造形サイズ15×15×15cm) - 環境に優しい土に返るPLAフィラメント - ダビンチ Jr. 1.0 XYZプリンティングジャパン by AMAZON ID21513
  • 3Dプリンター|ダヴィンチ1.0 pro|オートキャリブレーション機能付|オープンフィラメント可|ABS対応|造形サイズ20×20×20cm|レーザー刻印機能拡張可|積層ピッチ0.02mm~|3F1AWXJP00F - XYZプリンティングジャパン by AMAZON ID21511
  • ABS使用可 造形サイズ175×175×175mm オープンフィラメント可 オートキャリブレーション機能付き レーザー刻印機能拡張可 金属系PLA拡張可 3FJSPXJP00G - ダビンチ Jr.Pro X+ XYZプリンティングジャパン by AMAZON ID21509
  • zedela 5-in-1 USB-Cハブ【3ポート5Gbps by Amazon - ID 24751
スポンサーリンク

関連記事:

Threat Preventiion[Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する – [2021/08/01] Threat Preventiion[Synology] Router / SRM 1.2.3-8017 Update 3にUpdateされた時から、RT2600acを守っているThreat Preventionからの警告e-mail連絡がなくなった件 – ID2861 Threat Preventiion[Synology] Router 「RT2600ac」- ネットワーク攻撃にも余裕でブロック – ET WEB_SPECIFIC_APPS ECSHOP user.php SQL INJECTION via Refererとは – △ID3801 [Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある- △ID12353 [2021/04/09] [Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- △ [2021/08/01] [Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31]

用語の解説、関連タグ付き投稿の抽出

brute-force-attack

[Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する – [2021/08/01]
[Synology] 自宅に設置したNASにWordPressを構築してblog配信、高まるネット・リスクとセキュリティ対策 – [2020/12/31]
[Synology] NAS/Router ログ・センターは、毎日1回は見るべし – サーバーへの総当たり攻撃を発見、システムのログイン制限の適切な設定と自動ブロック- △ [2021/08/01]
Brute-Force-Attack; ネットワーク用語
[Synology] サイバー攻撃の種類と対策概要 – Fire Wall、IDS/IPS、WAF – RT2600acにはThreat Preventionがある- △ID12353 [2021/04/09]

IPS

[Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する – [2021/08/01]

Plugin

[Synology] セキュリティ改善法 – Threat Preventionとファイヤーウォールの運用を連携する – [2021/08/01]
[WordPress] 2020年初心者によるWordPressを構築し快適に運用するための必須プラグイン一覧 (2020/03/10現在) – ID10673
[WordPress] キャッシュプラグインの比較 – 「WP Fastest Cache」 vs 「WP-Optimize」- △ID9787 [2020/07/23]
[WordPress] Google Adsense導入 – 必要な手順とセッティング – 広告プラグインを選ぶ – 運用の実際 – ID9539 [2021/01/04]
[WordPress] PhastPress プラグイン Ver.1.33 – Databaseを不適正にいじってしまう(バックアップ教訓)- △ID14393 [2020/1/29]

Threat Prevention

スポンサーリンク ID 7130582967

- 以下のツールに敬意を示します -
Support to AMP (Accelerated Mobile Pages) by official AMP plugin for WordPress, and compatible powered by
Post viewing : Flex Posts - Widget and Gutenberg Block