Er det noen som prøver å hacke sidene mine?

[Dan Åsen Hansen]

... og bør jeg være bekymret?

Har installert WassUp, og den logger en IP-adresse som tydeligvis prøver seg på en haug med sider den tydeligvis ikke finner.

I loggen kommer det også opp et rødt felt, som sier; "Probably hack attempt!"

Videre får jeg opp:

Raw data:

Visit type: Spammer/Hacker
IP: 178.162.174.139
Hostname: 178.162.174.139
Url Requested: [404] /wp-content/plugins/cpl/cplphoto.php
Referrer:
User Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Browser: IE 6
OS: WinXP
Wassup ID: 51088f8be1971667b9dc31e5599938a7
End timestamp: 2011-01-26 19:37:34 ( 1296070654 )

Er dette noe jeg bør gjøre noe med? Bruker WordPress 3.0.4 norsk og Twenty Ten ...

Mvh Dan

 

[Tonny Kluften]

Det er vel er en hacker som prøver å finne wordpressinstallasjoner med cpl-pluginet i bruk. cpl har sikkert en sikkerhetsbrist. Du har ikke noe å frykte hvis du ikke bruker cpl.

 

[Dan Åsen Hansen]

Nei, eneste innstikkene jeg bruker er:

- Akismet
- Blog Metrics
- Google Analytics
- Subscribe To Comments (men denne tror jeg ikke er aktiv)
- WassUp

Ellers ser jeg i loggen vedkommende har prøvd seg på:

19:19:55 ->[404] /wp-content/plugins/events-manager/events-manager.php
19:19:56 ->[404] /wp-content/plugins/dm-albums/wp-dm-albums.php
19:19:56 ->[404] /wp-content/plugins/mylinksdump/myLinksDump.php
19:20:23 ->[404] /wp-content/plugins/simple-forum/sf-includes.php
19:21:42 ->[404] /wp-content/plugins/wp-adserve/adclick.php
19:22:15 ->/wp-content/plugins/mingle-forum/feed.php
19:23:35 ->[404] /wp-content/plugins/wp-cal/functions/editevent.php
19:23:56 ->[404] /wp-content/plugins/wp-table/js/wptable-button.php
19:24:28 ->[404] /wp-content/plugins/sniplets/modules/syntax_highlight.php
19:24:54 ->[404] /wp-content/plugins/st_newsletter/stnl_iframe.php
19:26:34 ->[404] /wp-content/plugins/wassup/spy.php
19:27:02 ->[404] /wp-content/plugins/wp-download/wp-download.php
19:27:08 ->[404] /wp-content/plugins/wordtube/wordtube-button.php
19:29:02 ->[404] /wp-content/plugins/nextgen-smooth-gallery/nggSmooth.php
19:29:23 ->[404] /wp-content/plugins/wp-forum/forum_feed.php
19:29:25 ->[404] /wp-content/plugins/wordspew/wordspew-rss.php
19:30:58 ->[404] /wp-content/plugins/cpl/cplphoto.php
19:31:20 ->[404] /wp-content/plugins/downloads-manager/upload.php
19:31:44 ->[404] /wp-content/plugins/wp-f(...)lemanager/ajaxfilemanager.php
19:32:11 ->[404] /wp-content/plugins/wp-syntax/wp-syntax.php
19:33:57 ->[404] /wp-content/plugins/BackUp/Archive.php
19:34:19 ->[404] /wp-content/plugins/photoracer/prbrowse.php
19:34:51 ->[404] /wp-content/plugins/wp-photo-album/wppa.php
19:34:53 ->[404] /wp-content/plugins/db-toolkit/plugincore.php
19:34:54 ->[404] /wp-content/plugins/fmoblog_2_1/fmoblog.php
19:35:14 ->[404] /wp-content/plugins/ImageManager/manager.php
19:35:16 ->[404] /wp-content/plugins/related-sites/BTE_RW_ge.php
19:36:09 ->[404] /wp-content/plugins/events-calendar/events-calendar.php
19:36:15 ->[404] /wp-content/plugins/fgallery/fim_rss.php
19:37:13 ->[404] /wp-content/plugins/wp-shopping-cart/image_processing.php
19:37:34 ->[404] /wp-content/plugins/wpSS/ss_load.php

 

[Tonny Kluften]

Da er nok alt dette plugins som har sikkerhetsbrister. God påminnelse om å være forsiktig med å bruke plugins som er lite kjente eller ikke er oppgradert på lenge.

 

[Dan Åsen Hansen]

Akkurat! Så det vedkommende gjør, er å scanne etter kjente script med sikkerhetsbrister?

Mvh Dan

 

[Tonny Kluften]

Antageligvis. Det er ihvertfall ikke uvanlig at det skjer.

 

[Dan Åsen Hansen]

Ok. Er det noe jeg kan gjøre for å unngå dette? Eventuelt utelukke den aktuelle IP-adressen eller noe?

Mvh Dan

 

[TorsteinO]

Hm, ser en fil i nextgen gallery også er i den lista der, det MÅ da være en gammel versjon? NGG er jo voldsomt populært og blir oppdatert titt og ofte

 

[Tonny Kluften]

Den heter jo nextgen-smooth-gallery, er ikke det samme som nextgen gallery.

 

[TorsteinO]

Ah, se der ja, liten blings fra meg der... Får skylde på veslefrøkna som holdt meg våken til klokka fire i natt... (trøtt? hvem? jeg? neida. Deadline klokka to. Venter på en artikkel som fremdeles ikke har kommet. Jippi. Kaffe er bra.)

 

[Dan Åsen Hansen]

Hehe, ok. Så egentlig behøver jeg ikke bekymre meg så mye? Iherdig person tydeligvis, for h*n holder på iblant ennå ...

Mvh Dan

 

[Pong]

Hvorhen peker IP'en? Du kan evt. sende loggen til den som drifter serveren der forespørslene kommer fra?

 

[Dan Åsen Hansen]

IP-adressene skifter litt, men det står "hostname: gaia.gomebox.nl" ...

Mvh Dan

 

[Nutz]

Kan utelate en hel gruppe i htaccess, trenger ikke eksakt IP.
Så hvis den varierer litt så kan denne være løsningen, dersom han "aldri" gir seg.

deny from 178.162

 

[Dan Åsen Hansen]

Hehe, blogget om det, og da tok det slutt

Kan selvfølgelig være tilfeldig da, og/eller at vedkommende bare har tatt en pause ...

Mvh Dan