Videó: Deface Wordpress Brute Force + Upload Shell (November 2024)
Jelenleg a WordPress és a Joomla webhelyek ezreit támadják meg egy nagy botnet brutális erőszakkal ellátott jelszavak. A rendszergazdáknak ellenőrizniük kell, hogy erős jelszavakkal és egyedi felhasználónevekkel rendelkeznek-e a WordPress és a Joomla telepítéséhez.
A CloudFlare, a HostGator és számos más cég jelentései szerint az elkövetők az elmúlt napokban jelentősen fokozta a WordPress blogok és a Joomla webhelyek elleni erőszakos, szótár alapú bejelentkezési kísérleteket. A támadás a webhelyen olyan általános fiókneveket keres, mint például az "admin", és rendszeresen megpróbálja a közös jelszavakat, hogy behatoljon a kísérletbe.
A rendszergazdák nem akarják, hogy valaki megsértse a weboldalait, mivel a támadó megtévesztheti a webhelyet, vagy beágyazhat egy rosszindulatú kódot, hogy megfertőzze másokat rosszindulatú programokkal. A támadás szervezett jellege és nagyszabású mûvelete azonban még baljósabb célokat von maga után. Valószínűnek tűnik, hogy a támadók megpróbálnak lábaikat megszerezni a szerverre, hogy kitalálják, hogyan lehetne átvenni az egész gépet. A webszerverek általában erősebbek és nagyobb sávszélességű csövekkel rendelkeznek, mint az otthoni számítógépek, így vonzó célokká válnak.
"A támadó egy viszonylag gyenge otthoni számítógépes botnetet használ annak érdekében, hogy egy későbbi támadás előkészítésekor egy sokkal nagyobb botnetet készítsen élelmezéses szerverekkel" - írta Matthew Prince, a CloudFlare vezérigazgatója a vállalati blogban.
A Brobot botnet, amely szerint a kutatók szerint a tavaly ősszel indult az USA pénzügyi intézményei ellen a szolgáltatásmegtagadás támadása, kompromittált webszerverekből áll. "Ezek a nagyobb gépek sokkal több kárt okozhatnak a DDoS támadásokban, mivel a szerverek nagy hálózati kapcsolatokkal rendelkeznek, és képesek jelentős mennyiségű forgalom generálására" - mondta Prince.
Brutális erőszakos számlák
A támadók brute-force taktikákat alkalmaznak a felhasználói fiókokba való behatolásra a WordPress és a Joomla webhelyeken. Az öt legjobban célzott felhasználónév az "admin", "test", "adminisztrátor", "adminisztrátor" és "root". Nyers erőszakos támadás esetén az elkövetők szisztematikusan kipróbálják az összes lehetséges kombinációt, amíg sikeresen be nem jelentkeznek a fiókba. Könnyebb kitalálni és kitalálni az egyszerű jelszavakat, például a számsorozatokat és a szótári szavakat, és egy botnet automatizálja a teljes folyamatot. A támadás során kipróbált öt legfontosabb jelszó "admin", "123456", "111111", "666666" és "12345678."
Ha közös felhasználónevet vagy közös jelszót használ, akkor azonnal változtasson egy kevésbé nyilvánvalóvá.
"Csináld ezt, és meg fogod lépni a kint lévő webhelyek 99 százalékánál, és valószínűleg soha nem lesz problémája" - írta Matt Mullenweg, a WordPress alkotója a blogjában.
Támadás hangereje
Sucuri statisztikái azt mutatják, hogy a támadások növekszenek. A vállalat decemberben 678 519 bejelentkezési kísérletet blokkolt, amelyet januárban blokkolt 1 252 308 bejelentkezési kísérlet, februárban 1 034 323 bejelentkezési kísérletet és márciusban 950 389 bejelentkezési kísérletet blokkolt Daniel Cid, a Sucuri műszaki vezetője a cég blogján. Április első 10 napjában azonban Sucuri már blokkolta 774 104 bejelentkezési kísérletet - mondta Cid. Ez egy jelentős ugrás: napi 30 ezer tól 40 ezer támadástól átlagosan napi mintegy 77 ezer támadásig terjed, és voltak olyan napok ebben a hónapban, amikor a támadások meghaladták a napi 100 000 támadást - mondta Sucuri.
"Ezekben az esetekben az a tény, hogy nem adminisztrátorok / adminisztrátorok / gyökér felhasználónevek vannak, automatikusan kimarad a futásból" - mondta Cid, mielőtt hozzátette: "Ami valójában nagyon kedves."
Tippek egy nagy robothoz
A támadás hangereje utal a botnet méretére. A HostGator becslése szerint legalább 90 000 számítógép vesz részt ebben a támadásban, és a CloudFlare szerint "több mint tízezer egyedi IP-cím" kerül felhasználásra.
A botnet olyan veszélyeztetett számítógépek alkotják, amelyek egy vagy több központi parancs- és vezérlőkiszolgálótól kapnak utasításokat, és végrehajtják ezeket a parancsokat. Ezeket a számítógépeket nagyrészt valamilyen rosszindulatú program fertőzte meg, és a felhasználó még azt sem tudja, hogy a támadók irányítják a gépeket.
Erős hitelesítő adatok, frissített szoftver
A népszerű tartalomkezelő rendszerek elleni támadások nem új, de a puszta mennyiség és a hirtelen növekedés aggasztó. Ezen a ponton az adminisztrátoroknak nem sokkal tehetik meg az erőteljes felhasználónév és jelszó kombináció használatát, valamint annak biztosítását, hogy a CMS és a hozzá kapcsolódó plug-inek naprakészek legyenek.
"Ha továbbra is az" admin "felhasználót használja felhasználónévként blogjában, akkor változtassa meg, használjon erős jelszót, ha a WP.com webhelyen kapcsolja be a két tényezős hitelesítést, és természetesen ellenőrizze, dátum a WordPress legújabb verzióján "- mondta Mullenweg. A három évvel ezelőtt kiadott WordPress 3.0 lehetővé teszi a felhasználók számára, hogy egyéni felhasználónevet hozzanak létre, tehát nincs ok az "admin" vagy "Administrator" jelszó használatára.
