Video: CMS (Wordpress, Joomla, Drupal) Brute Force Attack - Siber Güvenlik (Octombrie 2024)
Mii de site-uri WordPress și Joomla sunt în prezent atacate de o mare parolă de forțare brute cu botnet. Administratorii trebuie să se asigure că au parole puternice și nume de utilizator unice pentru instalațiile lor WordPress și Joomla.
Zilele trecute, autorii au intensificat în mod semnificativ tentativele de autentificare bazate pe dicționar împotriva blogurilor WordPress și a site-urilor Joomla, conform rapoartelor CloudFlare, HostGator și alte câteva companii. Atacul caută nume de cont obișnuite, cum ar fi „admin”, pe site și încearcă în mod sistematic parolele comune pentru a putea intra în acocunt.
Administratorii nu doresc ca cineva să intre în accesul la site-urile lor, deoarece atacatorul ar putea să șteargă site-ul sau să încorporeze un cod rău pentru a infecta alte persoane cu malware. Cu toate acestea, natura organizată a atacului și operațiunea sa la scară largă implică obiective și mai sinistre. Se pare că atacatorii încearcă să ajungă pe server, astfel încât să poată descoperi o modalitate de a prelua întreaga mașină. Serverele Web sunt în general mai puternice și au conducte de lățime de bandă mai mari decât computerele de acasă, ceea ce le face ținte atractive.
"Atacatorul folosește un botnet relativ slab al PC-urilor casnice pentru a construi o botnet mult mai mare de servere înfocate pentru pregătirea unui viitor atac", a scris Matthew Prince, CEO CloudFlare, pe blogul companiei.
Botnetul Brobot, despre care cercetătorii cred că se aflau în spatele atacurilor masive de refuz al serviciilor împotriva instituțiilor financiare americane începând de toamna trecută, este format din servere web compromise. "Aceste aparate mai mari pot provoca daune mult mai mari în atacurile DDoS, deoarece serverele au conexiuni mari la rețea și sunt capabile să genereze cantități semnificative de trafic", a spus Prince.
Conturi Brute-Forcing
Atacatorii folosesc tactici de forță brută pentru a intra în conturile utilizatorilor pentru site-urile WordPress și Joomla. Primele cinci nume de utilizator vizate sunt „admin”, „test”, „administrator”, „Admin” și „root”. Într-un atac cu forțe brute, făptașii încearcă sistematic toate combinațiile posibile până când se autentifică cu succes în cont. Este mai ușor să ghicești și să îți dai seama de parole simple, precum secvențe de numere și cuvinte de dicționar, iar o botnet automatizează întregul proces. Primele cinci parole care se încearcă în acest atac se întâmplă să fie "admin", "123456", "111111", "666666" și "12345678."
Dacă utilizați un nume de utilizator comun sau o parolă comună, schimbați-o imediat în ceva mai puțin evident.
„Faceți asta și veți fi în fața a 99 la sută dintre site-urile de acolo și, probabil, nu veți avea niciodată o problemă”, a scris Matt Mullenweg, creatorul WordPress, pe blogul său.
Valoarea în volum a atacului
Statisticile lui Sucuri indică că atacurile cresc. Compania a blocat 678.519 încercări de autentificare în decembrie, urmate de 1.252.308 de încercări de autentificare blocate în ianuarie, 1.034.323 de tentative de autentificare în februarie și 950.389 de încercări în martie, Daniel Cid, CTO al Sucuri, pe blogul companiei. Cu toate acestea, în primele 10 zile ale lunii aprilie, Sucuri a blocat 774.104 încercări de conectare, a spus Cid. Acesta este un salt semnificativ, de la 30 de mii la 40 de mii de atacuri pe zi la aproximativ 77.000 pe zi, în medie, și au fost zile în această lună în care atacurile au depășit 100.000 pe zi, a spus Sucuri.
"În aceste cazuri, prin faptul că aveți un nume de utilizator neadministrator / administrator / root, sunteți automat fără funcționare", a spus Cid, înainte de a adăuga, "Ceea ce este drăguț de fapt."
Sugestii de o mare botnet
Volumul atacului este un indiciu asupra dimensiunii botnetului. HostGator a estimat că cel puțin 90.000 de computere sunt implicate în acest atac, iar CloudFlare consideră că „se folosesc mai mult de zeci de mii de adrese IP unice”.
O botnet este formată din computere compromise care primesc instrucțiuni de la unul sau mai multe servere de comandă și control centralizate și care execută aceste comenzi. În cea mai mare parte, aceste computere au fost infectate cu un fel de malware și utilizatorul nici nu este conștient de faptul că atacatorii controlează mașinile.
Credențe puternice, software actualizat
Atacurile împotriva sistemelor populare de gestionare a conținutului nu sunt noi, dar volumul și creșterea bruscă sunt îngrijorătoare. În acest moment, nu se pot face prea mulți administratori dincolo de utilizarea unei combinații de nume de utilizator și parolă puternice și să se asigure că CMS și pluginurile asociate sunt actualizate.
„Dacă tot folosiți„ admin ”ca nume de utilizator pe blogul dvs., schimbați-o, utilizați o parolă puternică, dacă sunteți pe WP.com porniți autentificarea cu doi factori și, bineînțeles, asigurați-vă că sunteți la curent cu data la ultima versiune a WordPress ", a spus Mullenweg. WordPress 3.0, lansat în urmă cu trei ani, permite utilizatorilor să creeze un nume de utilizator personalizat, astfel încât nu există niciun motiv să mai aveți o parolă „admin” sau „Administrator”.
