Wordpress, Joomla сайти під жорстокою атакою пароля

Тисячі сайтів WordPress та Joomla зараз знаходяться під атакою великих паролів, що змушують грубу грубої мережі. Адміністраторам потрібно переконатися, що вони мають надійні паролі та унікальні імена користувачів для своїх установок WordPress та Joomla.

Протягом останніх кількох днів злочинці значно активізували спроби входу на грубі дії, на основі словника щодо блогів WordPress та Joomla, згідно з повідомленнями CloudFlare, HostGator та кількох інших компаній. Атака шукає на сайті поширені імена облікових записів, такі як "адмін", і систематично пробує загальні паролі для того, щоб прорватися в акаунт.

Адміністратори не хочуть, щоб хтось порушив доступ до своїх сайтів, оскільки цей зловмисник може знешкодити сайт або вбудувати шкідливий код, щоб заразити інших людей шкідливим програмним забезпеченням. Однак організований характер нападу та його масштабна операція передбачає ще більш зловісні цілі. Здається, ймовірно, що зловмисники намагаються закріпитися на сервері, щоб вони могли знайти спосіб захопити всю машину. Веб-сервери, як правило, більш потужні і мають більшу пропускну здатність труб, ніж домашні комп'ютери, що робить їх привабливими цілями.

"Зловмисник використовує відносно слабкий ботнет домашніх ПК для того, щоб створити набагато більшу ботнет-грубку серверів для підготовки до майбутньої атаки", - написав у своєму блозі компанії Меттью Прінс, генеральний директор CloudFlare.

Ботнет Brobot, який, як вважають дослідники, стояв за масовими атаками відмови у наданні послуг на фінансові установи США, починаючи минулої осені, складається з компрометованих веб-серверів. "Ці великі машини можуть завдати набагато більше збитків при атаках DDoS, оскільки сервери мають великі мережеві з'єднання і здатні генерувати значну кількість трафіку", - сказав Прінс.

Рахунки, що примушують грубо

Зловмисники використовують брутальну силу тактики, щоб втрутитися в облікові записи користувачів для сайтів WordPress та Joomla. П'ять перших імен користувачів, на які спрямовано, - це "адміністратор", "тест", "адміністратор", "Адміністратор" та "Корінь". Під час нападу грубої сили винуватці систематично випробовують усі можливі комбінації, поки вони успішно не входять у рахунок. Простіше вгадати та визначити прості паролі, такі як числові послідовності та слова словника, а ботнет автоматизує весь процес. П'ять перших паролів, які намагаються здійснити в цій атаці, "адміністратор", "123456", "111111", "666666" та "12345678."

Якщо ви використовуєте загальне ім'я користувача або загальний пароль, негайно змініть його на щось менш очевидне.

"Зробіть це, і ви будете випереджати 99 відсотків сайтів там, і, ймовірно, ніколи не виникне проблем", - написав у своєму блозі Метт Малленвег, творець WordPress.

Сплеск обсягу атаки

Статистика Сукурі вказує, що напади збільшуються. Компанія заблокувала 678, 519 спроб входу в грудні, за ними 1, 252, 308 спроб входу, заблокованих у січні, 1, 034, 323 спроби входу у лютому, та 950, 389 спроб у березні, Даніель Cid, CTO Sucuri, у своєму блозі компанії. Однак у перші 10 квітня Sucuri вже заблокував 774104 спроби входу, заявив Cid. Це суттєвий стрибок: від 30 тис. До 40 тис. Нападів на день до приблизно 77000 в день в середньому, а в цьому місяці були дні, коли напади перевищували 100 000 на день, сказав Сукурі.

"У цих випадках, за наявності самого імені користувача без адміністратора / адміністратора / root ви автоматично не працюєте", - сказав Сід, перед тим як додати: "Що насправді є приємним".

Підказки великої Botnet

Обсяг атаки - натяк на розмір ботнету. За оцінками HostGator, в цій атаці бере участь щонайменше 90 000 комп'ютерів, а CloudFlare вважає, що "використовується більше десятків тисяч унікальних IP-адрес".

Ботнет складається з компрометованих комп'ютерів, які отримують вказівки від одного або декількох централізованих серверів управління командами та керуванням та виконують ці команди. Здебільшого ці комп’ютери були заражені деякими шкідливими програмами, і користувач навіть не знає, що зловмисники контролюють машини.

Сильні облікові дані, оновлене програмне забезпечення

Напади на популярні системи управління контентом не є новими, але об'ємний обсяг і раптове зростання викликає занепокоєння. Наразі адміністраторам не так вже й багато можливостей використовувати потужну комбінацію імені користувача та пароля та забезпечити оновлення CMS та пов'язаних плагінів.

"Якщо ви все ще використовуєте" адміністратор "як ім'я користувача у своєму блозі, змініть його, використовуйте надійний пароль, якщо ви перебуваєте на WP.com, увімкніть двофакторну автентифікацію, і звичайно переконайтеся, що ви налаштовані на дата останньої версії WordPress ", - сказав Малленвег. WordPress 3.0, випущений три роки тому, дозволяє користувачам створювати користувальницьке ім'я користувача, тому немає ніяких причин все ще мати пароль "адміністратора" або "Адміністратора".