szukaj

12.04.2013 | 22:47

avatar

Adam Haertle

Zmasowane ataki na serwisy oparte na WordPressie

Od kilku dni na całym świecie mnóstwo serwisów, opartych na popularnym WordPressie, doświadcza zmasowanych ataków na konta administratorów, prowadzonych przez duży botnet. Jaka jest skala ataku, na czym polega i jak się przed nim bronić?

Choć ataki trwają już od kilku dni, głośno stało się o nich dopiero wczoraj. Jako pierwsi odczuli je dostawcy usług hostingowych. Firma HostGator poinformowała swoich klientów, że ich instancje WordPressa są atakowane z ponad 90 tysięcy różnych adresów IP. Ataki polegają na wielokrotnych próbach odgadnięcia hasła kont administracyjnych, powodujących czasem nawet spowolnienie pracy serwera lub całkowity brak odpowiedzi z jego strony. Kto i po co atakuje serwery? Matthew Prince, szef firmy Cloudflare, twierdzi, że zna odpowiedź na to pytanie.

Po co komu tyle serwerów?

Prince spekuluje, że do ataku wykorzystywany jest botnet złożony z domowych komputerów, korzystających z łączy o stosunkowo niewielkiej przepustowości. Celem ataku jest uzyskanie dostępu do serwerów www, które z racji swojej specyfiki prawdopodobnie korzystają z dużo szybszych łączy. Wpisuje się to w tendencje na rynku popularnych narzędzi DDoS, gdzie po ataku typu DNS-reflection korzystanie z botnetu serwerów www jest jednym z najpopularniejszych rozwiązań przestępców. Oczywiście Prince nie zapomina wspomnieć, że korzystanie z usług Cloudflare oznacza automatyczną ochronę przed tym atakiem.

Z teorią szefa Cloudflare nie do końca zgadza się prezes innej firmy, Incapsula, Mark Gaffan. Cytowany przez Briana Krebsa Gaffan twierdzi, że skutecznie zaatakowane serwisy, oprócz wyposażenia w backdoor, są używane do kolejnych ataków. Wygląda więc na to, że przynajmniej na tym etapie przejęcie kontroli nad serwerem prowadzi do wykorzystania go w dalszym przeszukiwaniu sieci pod kątem podatnych adresów. Jaki jest ostateczny cel przestępców? Oprócz wykorzystania serwerów do ataku DDoS mogą one być użyte chociażby do kierowania ruchu do tzw. exploit packów, służących z kolei do propagowania klientów botnetów. Prawdziwe intencje atakujących poznamy zapewne już wkrótce, kiedy zakończą fazę skanowania sieci.

Jak wygląda atak

Najciekawsze informacje na temat samego ataku udostępniła firma Sucuri, specjalizująca się w bezpieczeństwie serwisów www, a szczególnie systemów typu CMS. Po pierwsze pokazała ona konkretne statystyki dotyczące skali ataków. Od początku roku jej systemy, chroniące wiele instancji WordPressa, notowały średnio między 30 a 40 tysięcy nieudanych prób logowania dziennie. Od początku kwietnia wartość ta wzrosła do ok. 70 tysięcy, a w ostatnich dniach przekroczyła 100 tysięcy. Trzykrotny wzrost liczby nieudanych logowań jest wyraźnym sygnałem, że coś się dzieje.

Systemy Sucuri rejestrują również szczegóły nieudanych prób dostępu. Najczęściej wykorzystywane konta to

 652,911 prób => admin
 10,173 prób => test
 8,992 prób => administrator
 8,921  prób => Admin
 2,495 prób => root

Wygląda zatem, że ataki ukierunkowane są przede wszystkim na domyślne konto „admin”. Jeśli zatem zmieniliście jego nazwę, możecie na razie spać spokojnie (na razie, ponieważ istnieje sposób na uzyskanie nowej nazwy konta, jednak botnet z niego nie korzysta – wkrótce napiszemy więcej na ten temat).

Ciekawa natomiast jest lista haseł, wykorzystywanych w próbach ataku:

 16,798 [pwd] => admin
 10,880 [pwd] => 123456
 9,727 [pwd] => 666666
 9,106 [pwd] => 111111
 7,882 [pwd] => 12345678
 7,717 [pwd] => qwerty
 7,295 [pwd] => 1234567
 6,160 [pwd] => #@F#GBH$R^JNEBSRVWRVW
 5,640 [pwd] => password
 5,446 [pwd] => 12345
 5,392 [pwd] => $#GBERBSTGBR%GSERHBSR
 5,058 [pwd] => %G#GBAEGBW%HBFGBFXGB
 5,024 [pwd] => RGA%BT%HBSERGAEEAHAEH
 4,861 [pwd] => aethAEHBAEGBAEGEE%
 4,317 [pwd] => 123
 4,281 [pwd] => 123qwe
 4,133 [pwd] => 123admin
 4,092 [pwd] => 12345qwe
 4,086 [pwd] => 12369874
 3,880 [pwd] => 123123
 3,831 [pwd] => 1234qwer
 3,814 [pwd] => 1234abcd
 3,787 [pwd] => 123654
 3,751 [pwd] => 123qwe123qwe
 3,744 [pwd] => 123abc
 3,623 [pwd] => 123qweasd
 3,606 [pwd] => 123abc123
 3,422 [pwd] => 12345qwert

O ile większość z nich to hasła dość oczywiste, o tyle niektóre z nich są co najmniej dziwne. Wyglądają, jakby komuś omsknął się palec w trakcie weryfikacji listy potencjalnych haseł do sprawdzenia.

Co robić, jak życ?

Jak widzicie, ataki dotyczą głównie konta „admin” oraz trywialnych haseł. Jeśli zatem zmieniliście domyślny login konta administracyjnego oraz ustawiliście hasło o większym poziomie złożoności, to najgorsze, co może Was spotkać z powodu tego ataku, to chwilowa mniejsza wydajność serwera. Chyba, że kiedy botnet już powstanie, podpadniecie jego twórcom lub ich klientom… Bardziej wnikliwym polecamy kompleksowy zestaw wskazówek dotyczących zabezpieczania WordPressa.

Powrót

Komentarze

  • avatar
    2013.04.12 23:12 khoobeck

    Moje blogi chyba też padają tego ofiarą, czwarty dzień pod rząd przekraczam limity na hostingu, gdzie zwykle do połowy nie dochodziło…

    Odpowiedz
  • avatar
    2013.04.12 23:32 Tomek

    Aha, więc to oni tak maltretują moje WordPressy… Zainstalowałem sobie plugin Wordfence, który ma opcję blokowania IPków po N próbach nieudanego logowania – polecam, całą masę adresów już mi zablokował :).

    Odpowiedz
  • avatar
    2013.04.13 00:49 agilob

    WP Login Security 2 i Blue Captcha.

    Odpowiedz
  • avatar
    2013.04.13 02:59 dexterxx

    Też mnie dobijają te ataki.

    Może nie w tysiącach, ale też dziennie kilkadziesiąt banów zbieram… swoją drogą podzielę się banlistą: http://dexterxx.pl/bans.txt o której więcej wspominam tutaj: http://pr.dexterxx.pl/pl/projekt-zewn/dexterxxpl-banlist

    Z ciekawych haseł te mnie jeszcze zainteresowały, których „genezy” kompletnie się doszukać nie mogę:
    – 040185 liczone aż do 060888
    – m3$h@$*!
    – %G#GBAEGBW%HBFGBFXGB
    – aethAEHBAEGBAEGEE%
    – #@F#GBH$R^JNEBSRVWRVW

    Czy najzabawniej na tą chwilę opisując sytuację: „oooooooo”… „mmmmmmmm” ;-)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zmasowane ataki na serwisy oparte na WordPressie

Komentarze