高频访问模式
- 192.168.1.29在30秒内发起37次请求,平均每秒1.2次,远超正常用户行为。
- 集中访问
/wp-login.php(6次)与分页参数(如/?paged=198),疑似暴力破解或爬虫遍历。
- 可疑路径特征
rest_route参数暴露WordPress REST API接口,可能被用于数据爬取(如/wp/v2/posts/2687)。- 重定向参数包含外部域名(
liamtong.top),需检查是否涉及钓鱼攻击。
- 风险等级评估风险类型证据示例建议措施暴力破解高频
wp-login.php访问启用IP封禁+验证码内容爬取批量GET带ID参数(如/p=1119)添加robots.txt限制API滥用REST接口高频调用限制未认证API访问
安全加固建议
- 实时防护
- 配置WAF规则拦截:nginxCopy Code
# 示例:限制单IP每秒请求数 limit_req_zone $binary_remote_addr zone=req_limit:10m rate=1r/s; - 在WordPress中安装安全插件(如Wordfence)监控异常登录。
- 配置WAF规则拦截:nginxCopy Code
- 日志监控
- 设置ELK告警规则:jsonCopy Code
{ "query": { "bool": { "must": [ { "match": { "client_ip": "192.168.1.29" }}, { "range": { "@timestamp": { "gte": "now-1m" }}} ] } } }
- 设置ELK告警规则:jsonCopy Code
- 后续排查
- 检查
wp-cron.php任务是否被恶意篡改。 - 对
liamtong.top域名进行安全扫描,确认是否关联恶意服务器。
- 检查
如需进一步分析特定请求的响应内容或时间戳细节,可提供完整日志文件。