尝试爆破Wordpress密码的ip集合，为你的nginx黑名单提供一些ip

他回精神病院了 · 发表于 2021-1-14 18:14:57

本帖最后由他回精神病院了于 2021-1-14 18:20 编辑

今天中午受到这个帖子的启发
https://www.hostloc.com/forum.php?mod=viewthread&tid=796176
下午摸鱼的时候就想看一下有没有人企图爆破我的Wordpress的密码，一查结果还挺多人的。这些人行动的步骤跟这个贴里的基本上都是一样的，所以就不重复步骤了。

顺手写了个脚本把尝试次数最多的ip地址过滤出来了，方便大家加黑名单。有些请求的User-Agent会伪装成主流的浏览器或者Googlebot，所以无法通过User-Agent屏蔽。

有些会尝试通过xmlrpc登录爆破密码，部分情况下密码字典耗尽以后会在用wp-login.php再尝试一遍；另外一部分直接尝试用wp-login.php登录破解密码。前一种情况非常多，我取了尝试次数超过100次的；后一种情况少一些，我取了尝试次数超过50次的。

在控制台上输出结果的格式是没问题的，结果贴到帖子里有点乱了，大家凑合着看一下吧(前面是ip，后面是不同方法尝试的次数）。

--------------------------------------------------
|  通过xmlrpc尝试登录 |  通过wp-login尝试登录  |
--------------------------------------------------
| 13.90.211.144                   | 5995| 5995|
--------------------------------------------------
| 42.194.187.114                | 5041|    |
--------------------------------------------------
| 94.102.13.80                   | 1660|    |
--------------------------------------------------
| 23.96.44.252                   | 1000| 1000|
--------------------------------------------------
| 128.199.249.2                   | 1000| 1000|
--------------------------------------------------
| 34.68.71.93                   | 833|    |
--------------------------------------------------
| 34.122.236.151                | 833|    |
--------------------------------------------------
| 2.58.29.151                   | 830| 830|
--------------------------------------------------
| 185.212.168.155                | 830| 830|
--------------------------------------------------
| 132.232.47.138                | 745|    |
--------------------------------------------------
| 31.28.162.45                   | 688|    |
--------------------------------------------------
| 198.100.145.152                | 643|    |
--------------------------------------------------
| 198.245.50.141                | 641|    |
--------------------------------------------------
| 52.152.232.117                | 570|    |
--------------------------------------------------
| 51.104.41.246                   | 510| 510|
--------------------------------------------------
| 198.245.61.117                | 501|    |
--------------------------------------------------
| 62.210.178.165                | 492|    |
--------------------------------------------------
| 62.210.79.233                   | 468|    |
--------------------------------------------------
| 195.154.174.135                | 394|    |
--------------------------------------------------
| 52.255.163.188                | 375|    60|
--------------------------------------------------
| 195.154.169.60                | 370|    |
--------------------------------------------------
| 198.245.50.142                | 329|    |
--------------------------------------------------
| 62.210.177.162                | 325|    |
--------------------------------------------------
| 142.4.213.149                   | 321|    |
--------------------------------------------------
| 62.210.84.2                   | 320|    |
--------------------------------------------------
| 62.210.83.32                   | 320|    |
--------------------------------------------------
| 62.210.79.221                   | 320|    |
--------------------------------------------------
| 62.210.172.123                | 320|    |
--------------------------------------------------
| 195.154.167.70                | 320|    |
--------------------------------------------------
| 198.245.61.77                   | 300|    |
--------------------------------------------------
| 176.31.182.56                   | 265|    |
--------------------------------------------------
| 143.110.148.88                | 259|    |
--------------------------------------------------
| 54.152.158.144                | 255| 255|
--------------------------------------------------
| 40.124.30.229                   | 255|    |
--------------------------------------------------
| 34.204.174.160                | 255|    |
--------------------------------------------------
| 207.244.255.22                | 255|    |
--------------------------------------------------
| 62.210.83.223                   | 252|    |
--------------------------------------------------
| 195.154.200.53                | 251|    |
--------------------------------------------------
| 62.210.205.59                   | 248|    |
--------------------------------------------------
| 198.245.50.182                | 248|    |
--------------------------------------------------
| 198.245.61.69                   | 247|    |
--------------------------------------------------
| 62.210.84.82                   | 246|    |
--------------------------------------------------
| 62.210.203.108                | 246|    |
--------------------------------------------------
| 198.245.50.191                | 246|    |
--------------------------------------------------
| 198.245.50.13                   | 246|    |
--------------------------------------------------
| 195.154.207.19                | 246|    |
--------------------------------------------------
| 195.154.177.22                | 246|    |
--------------------------------------------------
| 195.154.171.76                | 246|    |
--------------------------------------------------
| 163.172.7.51                   | 246|    |
--------------------------------------------------
| 62.210.204.175                | 222|    |
--------------------------------------------------
| 192.99.2.71                   | 222|    |
--------------------------------------------------
| 195.154.194.28                | 158|    |
--------------------------------------------------
| 62.210.204.182                | 148|    |
--------------------------------------------------
| 178.128.16.62                   | 120| 120|
--------------------------------------------------

-----------------------------------------
|       仅通过wp-login尝试登录       |
-----------------------------------------
| 5.188.62.147                   | 110|
-----------------------------------------
| 34.203.37.48                   | 103|
-----------------------------------------
| 45.144.30.26                   | 88|
-----------------------------------------
| 116.203.154.255                | 84|
-----------------------------------------
| 34.236.55.223                | 62|
-----------------------------------------
| 198.98.56.102                | 62|
-----------------------------------------
| 18.179.59.49                   | 62|
-----------------------------------------
| 13.53.64.97                   | 62|
-----------------------------------------
| 52.138.34.12                   | 60|
-----------------------------------------

OokoukioO · 发表于 2021-1-14 18:20:19

谁长期用1个ip爆破

他回精神病院了 · 发表于 2021-1-14 18:21:21

OokoukioO 发表于 2021-1-14 18:20
月抛，ip变了有p用

不一定都是月抛吧，先加上黑名单预防一下

胖虎 · 发表于 2021-1-14 18:32:29

本帖最后由胖虎于 2021-1-14 18:35 编辑

删掉xmlrpc，更换登录地址就能解决，不过也没什么意思一个破博客爆就爆吧。

还有一个比较傻的法子，删掉默认admin，并且不用管理员号，注册个低权限小号来发文，这样扫博客的就都去扫小号了。。

Sooele · 发表于 2021-1-14 18:35:24

胖虎发表于 2021-1-14 18:32
删掉xmlrpc，更换登录地址就能解决，不过也没什么意思一个破博客爆就爆吧。 ...

Wp自带的防爆插件。基本够用了！

他回精神病院了 · 发表于 2021-1-14 18:35:41

胖虎发表于 2021-1-14 18:32
删掉xmlrpc，更换登录地址就能解决，不过也没什么意思一个破博客爆就爆吧。 ...

这个建议不错，更改登录地址彻底解决了

Moruy · 发表于 2021-1-14 18:37:28

把xmlrpc 重定向到 gov.cn

胖虎 · 发表于 2021-1-14 18:38:36

他回精神病院了发表于 2021-1-14 18:35
这个建议不错，更改登录地址彻底解决了

但是更换登录地址会造成部分主题前端登录失效，需要手动修改这算是个麻烦。

testsun · 发表于 2021-1-14 18:42:00

这有啥意义。。禁用xmlrpc，改掉登录链接的名字不就得了。它们去哪能猜出来。

testsun · 发表于 2021-1-14 18:45:29

也可以用那个登录错5次就封ip的插件

		自动登录	找回密码
密码			注册

[疑问] 尝试爆破Wordpress密码的ip集合，为你的nginx黑名单提供一些ip