Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Платформа WordPress подверглась масштабной брут-форс атаке

255 views
Skip to first unread message

Viruslist.com

unread,
Apr 18, 2013, 11:00:03 AM4/18/13
to
Хостинг-провайдеры и специалисты по сетевой безопасности [регистрируют][1] резкий рост трафика на веб-сайтах, работающих на движке WordPress. Используя [десятки тысяч][2] IP-адресов, неизвестные злоумышленники пытаются получить доступ к административной панели сайтов перебором логин-паролей по словарю (метод brute force). В случае успеха взломанный ресурс становится частью ботнета и подключается к текущей серии атак.

Попытки массового взлома WordPress нередки, однако на сей раз хакеры действуют с небывалым размахом. По данным мониторинговой компании Sucuri, число заблокированных брут-форс атак на платформу WordPress в апреле [утроилось][3] и в среднем составляет 77,4 тыс. атак в сутки, а на пике превышает 100 тысяч. Боты [запрашивают /wp-login.php][4] и пытаются осуществить вход, оперируя списком из 1 тыс. популярных комбинаций логин-пароль. Чаще всего они авторизуются под именем admin, а из паролей отдают предпочтение admin, 123456, 666666, 111111, 12345678 и qwerty. На взломанный сайт [внедряется бэкдор][5], обеспечивающий злоумышленникам удаленный контроль над ресурсом.

По оценке компании HostGator, которая первым из хостинг-провайдеров обнародовала информацию о глобальном инциденте, в хакерскую кампанию [вовлечены][1] свыше 90 тыс. разноплеменных IP адресов. Их мишенью является не только WordPress, но и [Joomla][6], хотя и в значительно меньшем объеме. Оператор крупнейшей CDN сети CloudFlare, который обслуживает, по собственным оценкам, около 3% подаваемых по Сети запросов, за час [заблокировал][7] 60 млн. обращений к своим клиентам, использующим WordPress. При этом с каждого атакующего IP-адреса за раз подается всего лишь один запрос.

CloudFlare полагает, что атакующие оперируют небольшим ботнетом, составленным из домашних ПК, и намереваются создать более солидную сеть на базе веб-серверов. Последние доступны круглосуточно и способны генерировать мощный трафик, к тому же их не так-то легко заблокировать. Построенный на серверах ботнет может причинить большой ущерб, работая на фишеров, распространяя зловредов или участвуя в DDoS-атаках - например, с использованием эффективного набора скриптов [itsoknoproblembro][8].

В этом печальном событии есть своя ложка меда: его масштабность подвигла хостинг-провайдеров на совместный поиск решений. В Сети стала появляться информация «из первых рук», предложения и рекомендации для многочисленных пользователей WordPress. Компания CloudFlare, как всегда, готова играть в открытую и поделиться с коллегами своей базой IP-адресов, участвующих в хакерском нападении. Ее эксперты загрузили на CDN-сеть сигнатуру атаки и блокируют все вредоносные запросы. Разработчик WordPress выложил в своем блоге [предупреждение][9], отметив, что при таких масштабах атаки ограничение по IP-адресу или искусственное замедление процедуры авторизации не имеют большого смысла. По его мнению - и в этом с ним согласны все хостеры, все пользователи атакуемой платформы должны незамедлительно усилить пароли, включить опцию двухфакторной аутентификации, недавно введенную в обиход, а также удостовериться в актуальности установленной версии WordPress и плагинов.

Для справки: в декабре прошлого года в интернете [насчитывалось][10] 634 млн. веб-сайтов, в том числе 59,4 миллиона, построенных на WordPress. В настоящее время эту CMS используют [более 64,2 млн.][11] сайтов с совокупным числом просмотров 371 млн. в месяц.

[1]: http://blog.hostgator.com/2013/04/11/global-wordpress-brute-force-flood/
[2]: http://blog.cloudflare.com/patching-the-internet-fixing-the-wordpress-br
[3]: http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-attacks-myth-or-reality.html
[4]: http://www.inmotionhosting.com/support/news/general/wp-login-brute-force-attack
[5]: http://krebsonsecurity.com/2013/04/brute-force-attacks-build-wordpress-botnet/
[6]: http://www.melbourne.co.uk/blog/2013/04/12/brute-force-attack-on-wordpress-and-joomla-powered-sites/
[7]: http://thenextweb.com/insider/2013/04/13/brute-force-attacks-on-wordpress-continue-as-cloudflare-fends-off-60m-requests-in-1-hour/
[8]: http://www.securelist.com/ru/blog/207764411/Proverte_vash_server_ne_bot
[9]: http://ma.tt/2013/04/passwords-and-brute-force/
[10]: http://royal.pingdom.com/2013/01/16/internet-2012-in-numbers/
[11]: http://en.wordpress.com/stats/

URL: http://www.securelist.com/ru/blog/207764612/Platforma_WordPress_podverglas_masshtabnoy_brut_fors_atake

0 new messages