Zmasowane ataki na serwisy oparte na WordPressie

dodał 12 kwietnia 2013 o 22:47 w kategorii Włamania  z tagami:
Zmasowane ataki na serwisy oparte na WordPressie

Od kilku dni na całym świecie mnóstwo serwisów, opartych na popularnym WordPressie, doświadcza zmasowanych ataków na konta administratorów, prowadzonych przez duży botnet. Jaka jest skala ataku, na czym polega i jak się przed nim bronić?

Choć ataki trwają już od kilku dni, głośno stało się o nich dopiero wczoraj. Jako pierwsi odczuli je dostawcy usług hostingowych. Firma HostGator poinformowała swoich klientów, że ich instancje WordPressa są atakowane z ponad 90 tysięcy różnych adresów IP. Ataki polegają na wielokrotnych próbach odgadnięcia hasła kont administracyjnych, powodujących czasem nawet spowolnienie pracy serwera lub całkowity brak odpowiedzi z jego strony. Kto i po co atakuje serwery? Matthew Prince, szef firmy Cloudflare, twierdzi, że zna odpowiedź na to pytanie.

Po co komu tyle serwerów?

Prince spekuluje, że do ataku wykorzystywany jest botnet złożony z domowych komputerów, korzystających z łączy o stosunkowo niewielkiej przepustowości. Celem ataku jest uzyskanie dostępu do serwerów www, które z racji swojej specyfiki prawdopodobnie korzystają z dużo szybszych łączy. Wpisuje się to w tendencje na rynku popularnych narzędzi DDoS, gdzie po ataku typu DNS-reflection korzystanie z botnetu serwerów www jest jednym z najpopularniejszych rozwiązań przestępców. Oczywiście Prince nie zapomina wspomnieć, że korzystanie z usług Cloudflare oznacza automatyczną ochronę przed tym atakiem.

Z teorią szefa Cloudflare nie do końca zgadza się prezes innej firmy, Incapsula, Mark Gaffan. Cytowany przez Briana Krebsa Gaffan twierdzi, że skutecznie zaatakowane serwisy, oprócz wyposażenia w backdoor, są używane do kolejnych ataków. Wygląda więc na to, że przynajmniej na tym etapie przejęcie kontroli nad serwerem prowadzi do wykorzystania go w dalszym przeszukiwaniu sieci pod kątem podatnych adresów. Jaki jest ostateczny cel przestępców? Oprócz wykorzystania serwerów do ataku DDoS mogą one być użyte chociażby do kierowania ruchu do tzw. exploit packów, służących z kolei do propagowania klientów botnetów. Prawdziwe intencje atakujących poznamy zapewne już wkrótce, kiedy zakończą fazę skanowania sieci.

Jak wygląda atak

Najciekawsze informacje na temat samego ataku udostępniła firma Sucuri, specjalizująca się w bezpieczeństwie serwisów www, a szczególnie systemów typu CMS. Po pierwsze pokazała ona konkretne statystyki dotyczące skali ataków. Od początku roku jej systemy, chroniące wiele instancji WordPressa, notowały średnio między 30 a 40 tysięcy nieudanych prób logowania dziennie. Od początku kwietnia wartość ta wzrosła do ok. 70 tysięcy, a w ostatnich dniach przekroczyła 100 tysięcy. Trzykrotny wzrost liczby nieudanych logowań jest wyraźnym sygnałem, że coś się dzieje.

Systemy Sucuri rejestrują również szczegóły nieudanych prób dostępu. Najczęściej wykorzystywane konta to

Wygląda zatem, że ataki ukierunkowane są przede wszystkim na domyślne konto „admin”. Jeśli zatem zmieniliście jego nazwę, możecie na razie spać spokojnie (na razie, ponieważ istnieje sposób na uzyskanie nowej nazwy konta, jednak botnet z niego nie korzysta – wkrótce napiszemy więcej na ten temat).

Ciekawa natomiast jest lista haseł, wykorzystywanych w próbach ataku:

O ile większość z nich to hasła dość oczywiste, o tyle niektóre z nich są co najmniej dziwne. Wyglądają, jakby komuś omsknął się palec w trakcie weryfikacji listy potencjalnych haseł do sprawdzenia.

Co robić, jak życ?

Jak widzicie, ataki dotyczą głównie konta „admin” oraz trywialnych haseł. Jeśli zatem zmieniliście domyślny login konta administracyjnego oraz ustawiliście hasło o większym poziomie złożoności, to najgorsze, co może Was spotkać z powodu tego ataku, to chwilowa mniejsza wydajność serwera. Chyba, że kiedy botnet już powstanie, podpadniecie jego twórcom lub ich klientom… Bardziej wnikliwym polecamy kompleksowy zestaw wskazówek dotyczących zabezpieczania WordPressa.