Video: CMS (Wordpress, Joomla, Drupal) Brute Force Attack - Siber Güvenlik (Oktober 2024)
Tusinder af WordPress- og Joomla-websteder er i øjeblikket under angreb fra et stort botnet-brute-tvinger-adgangskoder. Administratorer skal sikre sig, at de har stærke adgangskoder og unikke brugernavne til deres WordPress- og Joomla-installationer.
I løbet af de sidste par dage har gerningsmændene markant øget sin brute-force, ordbog-baserede loginforsøg mod WordPress-blogs og Joomla-websteder, ifølge rapporter fra CloudFlare, HostGator og flere andre virksomheder. Angrebet søger efter almindelige kontonavne, såsom "admin" på webstedet og prøver systematisk fælles adgangskoder for at bryde ind i akutten.
Administratorer ønsker ikke, at nogen bryder ind for at få adgang til deres websteder, da denne angriber kan udskyde stedet eller integrere ondsindet kode for at inficere andre mennesker med malware. Angrebets organiserede karakter og dens store operation indebærer dog endnu mere uhyggelige mål. Det ser ud til, at angribere forsøger at få fodfæste på serveren, så de kan finde ud af en måde at overtage hele maskinen. Webservere er generelt mere kraftfulde og har større båndbredde-rør end hjemmecomputere, hvilket gør dem til attraktive mål.
"Angriberen bruger et relativt svagt botnet af hjemme-pc'er for at opbygge et meget større botnet af oksekødede servere som forberedelse til et fremtidig angreb, " skrev Matthew Prince, administrerende direktør for CloudFlare, på firmabloggen.
Brobot-botnet, som forskere mener, lå bag de massive angreb på benægtelse af tjenesten mod de amerikanske finansinstitutter, der startede sidste efterår, består af kompromitterede webservere. "Disse større maskiner kan forårsage meget mere skade i DDoS-angreb, fordi serverne har store netværksforbindelser og er i stand til at generere betydelige mængder trafik, " sagde Prince.
Brute-Tvingende konti
Angriberen bruger brute-force-taktikker for at inddele brugerkonti for WordPress- og Joomla-websteder. De øverste fem brugernavne, der målrettes mod, er "admin", "test", "administrator", "Administrator" og "root". I et brute-force-angreb prøver gerningsmændene systematisk alle mulige kombinationer, indtil de med succes logger ind på kontoen. Det er lettere at gætte og finde ud af enkle adgangskoder, som f.eks. Nummersekvenser og ordbogsord, og et botnet automatiserer hele processen. De øverste fem adgangskoder, der forsøges i dette angreb, er tilfældigvis "admin", "123456, " "111111, " "666666" og "12345678."
Hvis du bruger et fælles brugernavn eller et fælles kodeord, skal du straks ændre det til noget mindre indlysende.
"Gør dette, og du vil være foran 99 procent af sider derude og har sandsynligvis aldrig et problem, " skrev Matt Mullenweg, skaberen af WordPress, på sin blog.
Stød i angrebsvolumen
Sucuris statistikker angiver, at angrebene stiger. Virksomheden blokerede 678.519 loginforsøg i december, efterfulgt af 1.252.308 loginforsøg blokerede i januar, 1.034.323 loginforsøg i februar og 950.389 forsøg i marts, Daniel Cid, CTO for Sucuri, på virksomhedens blog. I de første 10 dage af april har Sucuri imidlertid allerede blokeret 774.104 loginforsøg, sagde Cid. Det er et betydeligt spring, der går fra 30.000 til 40.000 angreb pr. Dag til ca. 77.000 pr. Dag i gennemsnit, og der har været dage denne måned, hvor angrebene oversteg 100.000 pr. Dag, sagde Sucuri.
"I disse tilfælde, ved det rene faktum at have et ikke-admin / administrator / root brugernavne, er du automatisk ude af kørslen, " sagde Cid, før han tilføjede, "Hvilket er ret rart faktisk."
Tip om et stort botnet
Angrebsvolumen er et tip til botnets størrelse. HostGator anslår, at mindst 90.000 computere er involveret i dette angreb, og CloudFlare mener, at "mere end titusinder af unikke IP-adresser" bruges.
Et botnet består af kompromitterede computere, der modtager instruktioner fra en eller flere centraliserede kommando-og-kontrol-servere, og udfører disse kommandoer. For det meste er disse computere blevet inficeret med en slags malware, og brugeren er ikke engang klar over, at angriberen kontrollerer maskinerne.
Stærk legitimationsoplysninger, opdateret software
Angreb på populære indholdsstyringssystemer er ikke nye, men den store mængde og den pludselige stigning er bekymrende. På dette tidspunkt er der ikke meget administratorer, der kan gøre ud over at bruge en stærk brugernavn og adgangskodekombination og sikre, at CMS og tilknyttede plugins er opdaterede.
"Hvis du stadig bruger 'admin' som et brugernavn på din blog, skal du ændre den, bruge en stærk adgangskode, hvis du er på WP.com, skal du tænde for tofaktorautentisering og selvfølgelig sørge for, at du er up-to- dato på den nyeste version af WordPress, ”sagde Mullenweg. WordPress 3.0, der blev frigivet for tre år siden, giver brugerne mulighed for at oprette et brugerdefineret brugernavn, så der er ingen grund til stadig at have en "admin" eller "administrator" adgangskode.
