这是一个创建于 2849 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近把日志文件和云服务连接了一下,看日志的时候发现了这个现象:绝大多数针对 WordPress 的密码破解肉机在试图破解我的密码时,都是把 POST 请求发在了 HTTP 的页面,这个页面会被重定向到 HTTPS 版本,于是跳转了之后 POST 变 GET ,破解直接就无效了。
所以启动 HTTPS 之后,相当于能过滤掉大多数这些破解密码的 Bot ,这算是 HTTPS 的另一个好处吧。
截图(预警:使用的是竖屏 “ 8K ” 显示器一次截成)
xmlrpc ,全是 bot 破解
wp-login 登陆日志也一样是这种情况,因为包含了我自己的登陆,就没发
顺便吐槽一下微博的图床,我这图片 TinyPNG 压缩完就 1.4M ,传到微博图床上被转成了 JPEG 格式,约 10M ……
 |
1
xenme 2017-01-27 22:49:52 +08:00 via iPhone
我都在前台加个字段,这种机器人直接回 200 ,让他以为成功了
|
 |
2
Phant0m 2017-01-27 22:54:30 +08:00 via iPhone
截图的是什么系统?
|
 |
3
jybox 2017-01-27 23:00:44 +08:00  1
其实这应该算是 HTTP 302 重定向的坑,应该使用 307 (或 303 )代替 302 。
见 https://developer.mozilla.org/en-US/docs/Web/HTTP/Status/307 |
 |
4
ZE3kr OP |
 |
5
winterbells 2017-01-27 23:07:40 +08:00
wordpress 可以改后台地址的啊=。=
|
|
6
ZE3kr OP @winterbells 不想改,改地址我觉得只能算是一种 hack 的方式去解决,正常的解决方式是限制密码重试次数或者 ip 白名单等。 xmlrpc 如果改了的话会影响客户端使用。
|
 |
7
ivmm 2017-01-27 23:13:23 +08:00
有两步验证,让他猜去吧
|
 |
8
AsherG 2017-01-27 23:42:04 +08:00 via Android
静态博客就是好😂
|
 |
9
ys0290 2017-01-28 08:49:51 +08:00 via iPhone
改了登录地址
|
 |
10
Zohar 2017-01-28 09:44:55 +08:00 via Android
|
 |
11
bfanr 2017-01-28 10:04:00 +08:00 via Android
@Zohar 人心叵测啊,基本的信任呢。我点开没几秒没等我反应过来联通 4G 就跑了两百兆,大过年的不给我发红包就算了,还让我接着花钱订流量包😂
|
 |
13
laukwanchan 2017-01-28 12:37:09 +08:00 via iPhone
@bfanr 笑出声(逃
|
 |
16
Technetiumer 2017-01-28 17:31:59 +08:00
而 typecho 配置一下就可以改地址,我认为不改地址才是不正常的,后台地址不应当公开。
|
 |
17
techmoe 2017-01-28 18:00:48 +08:00 via Android
好老套的 bot
|
 |
18
Kaiyuan 2017-01-29 00:41:39 +08:00
@Zohar 原来还可以这样啊,我弄了个 1G 的... 判断到是 Bot 访问 wp-login.php 和 xmlrpc.php 就 301 到网上找到的 Download Test File 。
|
 |
20
wkl17 2017-06-03 18:48:40 +08:00
图裂了啊,v2ex 用的也是外链?
|
Select Language