Video: CMS (Wordpress, Joomla, Drupal) Brute Force Attack - Siber Güvenlik (Oktober 2024)
Tusenvis av WordPress- og Joomla-nettsteder blir for tiden angrepet av et stort passord for brute-tvang for botnet. Administratorer må sørge for at de har sterke passord og unike brukernavn for deres WordPress og Joomla installasjoner.
I løpet av de siste dagene har gjerningsmennene økt betydelig på brute-force, ordbokbaserte påloggingsforsøk mot WordPress-blogger og Joomla-nettsteder, ifølge rapporter fra CloudFlare, HostGator og flere andre selskaper. Angrepet ser etter vanlige kontonavn, for eksempel "admin" på nettstedet og prøver systematisk vanlige passord for å bryte seg inn i akutten.
Administratorer ønsker ikke at noen bryter inn for å få tilgang til nettstedene sine, da den angriperen kan forskyve nettstedet eller legge inn skadelig kode for å infisere andre mennesker med skadelig programvare. Angrepets organiserte natur og dets store operasjon innebærer imidlertid enda mer uhyggelige mål. Det ser ut til at angriperne prøver å få fotfeste på serveren, slik at de kan finne ut av en måte å ta over hele maskinen. Web-servere er generelt kraftigere og har større båndbredderør enn hjemme-datamaskiner, noe som gjør dem til attraktive mål.
"Angriperen bruker et relativt svakt botnet av hjemme-pc-er for å bygge et mye større botnet med okse servere som forberedelse for et fremtidig angrep, " skrev Matthew Prince, administrerende direktør i CloudFlare, på firmabloggen.
Brobot-botnettet, som forskere mener sto bak de massive angrepsangrepene mot de amerikanske finansinstitusjonene som startet i fjor høst, består av kompromitterte webservere. "Disse større maskinene kan forårsake mye mer skade i DDoS-angrep fordi serverne har store nettverkstilkoblinger og er i stand til å generere betydelige mengder trafikk, " sa Prince.
Brute-Tvingende kontoer
Angriperne bruker brute-force-taktikker for å bryte inn brukerkontoer for WordPress- og Joomla-nettsteder. De fem beste brukernavnene som blir målrettet er "admin", "test", "administrator", "Admin" og "root". I et brute-force-angrep prøver gjerningsmennene systematisk ut alle mulige kombinasjoner til de lykkes inn på kontoen. Det er lettere å gjette og finne ut enkle passord som tallsekvenser og ordbok, og et botnet automatiserer hele prosessen. De fem beste passordene som blir forsøkt i dette angrepet, er tilfeldigvis "admin", "123456, " "111111, " "666666" og "12345678."
Hvis du bruker et vanlig brukernavn eller et vanlig passord, endrer du det umiddelbart til noe mindre åpenbart.
"Gjør dette, så vil du være foran 99 prosent av nettstedene der ute og har sannsynligvis aldri et problem, " skrev Matt Mullenweg, skaperen av WordPress, på bloggen sin.
Overspenning i angrepsvolum
Sucuris statistikk indikerer at angrepene øker. Selskapet blokkerte 678 519 påloggingsforsøk i desember, etterfulgt av 1 252 308 påloggingsforsøk blokkerte i januar, 1 034 323 påloggingsforsøk i februar, og 950 389 forsøk i mars, Daniel Cid, CTO i Sucuri, på selskapets blogg. I løpet av de første 10 dagene av april har imidlertid Sucuri allerede blokkert 774.104 påloggingsforsøk, sa Cid. Det er et betydelig hopp, fra 30 000 til 40 000 angrep per dag til omtrent 77 000 per dag i gjennomsnitt, og det har vært dager denne måneden hvor angrepene oversteg 100 000 per dag, sa Sucuri.
"I disse tilfellene, ved det rene faktumet å ha et ikke-admin / administrator / root brukernavn, er du automatisk ute av drift, " sa Cid, før han la til, "Hvilket er veldig fint faktisk."
Hint av et stort botnet
Angrepsvolumet er et hint om botnets størrelse. HostGator anslår at minst 90 000 datamaskiner er involvert i dette angrepet, og CloudFlare mener "mer enn titusenvis av unike IP-adresser" blir brukt.
Et botnet består av kompromitterte datamaskiner som mottar instruksjoner fra en eller flere sentraliserte kommando-og-kontroll-servere, og utfører disse kommandoene. For det meste har disse datamaskinene blitt infisert med en slags malware, og brukeren er ikke en gang klar over at angriperne kontrollerer maskinene.
Sterk legitimasjon, oppdatert programvare
Angrep mot populære innholdsstyringssystemer er ikke nye, men det store volumet og den plutselige økningen er bekymringsfull. På dette tidspunktet er det ikke mye administratorer kan gjøre utover å bruke en sterk kombinasjon av brukernavn og passord og sikre at CMS og tilknyttede plugins er oppdaterte.
"Hvis du fortsatt bruker 'admin' som brukernavn på bloggen din, endrer den, bruk et sterkt passord, hvis du er på WP.com, slår på tofaktorautentisering, og selvfølgelig sørger for at du er oppdatert - dato på den siste versjonen av WordPress, "sa Mullenweg. WordPress 3.0, utgitt for tre år siden, lar brukere opprette et tilpasset brukernavn, så det er ingen grunn til å fortsatt ha et "admin" eller "administrator" passord.
