Du hast per E-Mail eine Nachricht bekommen wie:
"Jemand hat das Zurücksetzen des Passworts für folgendes Konto angefordert:"
Wer hat auf Passwort vergessen /rücksetzen geklickt?
Auch das steht in derselben Nachricht mit der IP die das verursacht hat, weiter unten:
Diese Anforderung zum Zurücksetzen des Passworts stammt von der IP-Adresse 113.66.33.73
(Die IP hat tatsächlich mehrere meiner WordPress Seiten angegriffen)
Eigentlich hätte mich dies an dieser Stelle nicht weiter gestört, jedoch hat dieselbe IP Nummer mindestens
5 meiner WordPress Seiten auf diese Weise angegriffen, also bekam ich 5 dieser Emails, alle mit derselben
IP Nummer, das nervt dann!
LÖSUNG:
Nur wenn Du einen SSH Zugriff auf Deinen Web/root Server hast, lies weiter...
Zuerst fragen wir mal ab, wem diese IP Adresse eigentlich gehört oder zu welchem Netzwerk?
Auf der Kommandozeile als root (SSH)
#whois 113.66.33.73
Das ergibt folgende Infos:
% Abuse contact for '113.64.0.0 - 113.95.255.255' is 'anti-spam@chinatelecom.cn'
inetnum: 113.64.0.0 - 113.95.255.255
netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: IC83-AP
abuse-c: AC1573-AP
status: ALLOCATED PORTABLE
remarks: service provider
remarks: --------------------------------------------------------
remarks: To report network abuse, please contact mnt-irt
remarks: For troubleshooting, please contact tech-c and admin-c
remarks: Report invalid contact via www.apnic.net/invalidcontact
remarks: --------------------------------------------------------
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-GD
mnt-routes: MAINT-CHINANET-GD
mnt-irt: IRT-CHINANET-CN
last-modified: 2021-06-15T08:06:03Z
Es zeigt uns, dass der Angriff aus China stammt und die IP Nummer aus dem Netzwerkkreis
113.64.0.0 - 113.95.255.255 stammt.
Nun stellt sich persönlich die Frage, möchte man tatsächlich Besucher aus China auf seinen deutschsprachigen
Seiten zulassen oder ist es nicht viel mehr so, dass diese "Besucher" nur solche Aktionen wie oben stehend "im Sinn"
haben....
Aus meiner Sicht kann ich auf diese "Art" Besucher aus Chinaland verzichten.
Sie lesen nicht meine Seiten, sondern möchten an Passwörter kommen etc.pp. wie in diesem Fall.
Der IP Kreis, aus dem unsere "Angreifer IP" stammt, also 113.64.0.0 - 113.95.255.255 sind rechnerisch
gesehen (95 - 64) * 255 * 255 = 2.015.775 Computer, die sich theoretisch in diesem Netzwerk befinden.
Es könnten natürlich auch "gute" und harmlose Computer darunter sein, aber ich denke,
das die Chinesen meine in deutsch geschriebenen Dinge nicht lesen möchten...
Bisher habe ich aus dem asiatischen Kreis nur Angriffe auf meine Server gehabt.
Frage: Kann man mit einem einzigen Befehl alle 2 Millionen Rechner DAUERHAFT von seinem WordPress / Server blockieren?
Ja, dafür gibt es den Befehl unter ssh als root
iptables -I INPUT 1 -m iprange --src-range 113.64.0.0-113.95.255.255 -j DROP
Klar es gibt Programme wie fail2ban, die ebenfalls solche eine einzelne angreifende IPs sperren, aber nur für eine bestimmte Zeit
um dann erneut wieder einen Angriff zu erwarten aus dem Kreis....
Der oben stehende Befehl schließt aber dauerhaft 2 Millionen Rechner aus dem chinesischen Kreis von seinen Webseiten aus.
Das sogenannte Grundrauschen, wie es von einigen IT lern bezeichnet wird, also die permanenten Angriffe aus der Welt,
an die man sich schon "gewöhnt" hat und "mit Ihnen lebt" kann man so aber verkleinern.
Beachte:
Nicht jeder wordpress Betreiber hat auch Zugriff als admin auf die Firewall des Webservers. (SSH)
Und nicht jeder möchte die Welt aussperren, wenn er internationale Webseiten betreibt in mehreren Sprachen.
Dann empfehle ich natürlich nicht! ganze Bereiche zu sperren, sondern in dem Fall sollte dann fail2ban helfen,
eine einzelne IP für eine Zeit zu sperren.
Die iprange Sperre ist da schon etwas radikahler... 🙂
Wenn es Euch auch geholfen hat oder ihr noch eine Idee habt, würde ich mich über einen Kommentar sehr freuen.