Назад | Перейти на главную страницу

Snort: пользователи не могут войти в систему, когда включено правило брутфорса входа в Wordpress

Я получил это правило перебора входа в WordPress от https://rules.emergingthreats.net/open/snort-2.9.0/rules/emerging-web_server.rules

alert tcp $ EXTERNAL_NET любой -> $ HTTP_SERVERS $ HTTP_PORTS (msg: «ET WEB_SERVER Wordpress Login Bruteforcing Detected»; поток: to_server, установлен; контент: «/ wp-login.php»; nocase; fast_pattern; http_uri; content: «POST "; http_method; content:" log | 3d | "; http_client_body; content:" pwd | 3d | "; http_client_body; threshold: type both, track by_src, count 5, seconds 60; classtype: blocked-recon; sid: 2014020; ревизия: 3;)

Когда я меняю его с «предупреждения» на «отклонить», я не могу войти в систему. (Там говорится, что соединение сброшено) Я не совсем понимаю, что означает правило. (я понимаю, что при регистрации он ищет журнал или 3d в методе post / get. Ищите client_body pwd 3d. Попытка-recon означает, что это кто-то «зондирует» сервер)

Только один пользователь может войти в WordPress, когда используется «отклонить». У трех других пользователей есть "ERR_CONNECTION_RESET" в Chrome.

Обновите дополнительную информацию

Следующие правила работают нормально и не мешают пользователям входить в систему:

http://blog.inliniac.net/2007/03/20/new-wordpress-issue-modsecurity-rule/

отклонить tcp $ EXTERNAL_NET any -> $ HTTP_SERVERS $ HTTP_PORTS (сообщение: «WORDPRESS wp-login.php redirect_to попытка кражи учетных данных»; поток: to_server, установлен; uricontent: «/ wp-login.php»; nocase; uricontent: «redirect_to "; pcre:" / redirect_to = (ht | f) tps?: // iU "; classtype: web-application-attack; sid: 4000003; rev: 1;)

http://seclists.org/snort/2014/q3/856

отклонить tcp $ EXTERNAL_NET any -> $ HTTP_SERVERS $ HTTP_PORTS (msg: "Wordpress Brute Force Login"; поток: to_server, установлен; content: "POST"; nocase; http_method; uricontent: "/ wp-login.php"; nocase; content:! "wp-submit"; nocase; classtype: web-application-attack; sid: 90000100; rev: 1;)

Сервер работает в университетской сети, и сотрудники попытались войти в сеть и заблокировали его. Я попытался войти в систему и тоже заблокировал. Так будет ли это проблемой правила?

Я почти уверен, что snort применяет такие правила для каждого IP-адреса, поэтому я предполагаю, что у вас есть своего рода обратный прокси-сервер между Интернетом и Snort, и он видит все запросы, исходящие от одного и того же IP, видит множество попыток входа в систему с одного IP-адреса и приходит в ужас, думая, что кто-то пытается подобрать пароли учетных записей.