Video: JexBruteforce 2020 | AIO Bruteforce CMS Wordpress Joomla Opencart Drupal (Oktober 2024)
Na tisoče spletnih mest WordPress in Joomla trenutno napada velika gesla, ki silijo klopi. Skrbniki se morajo prepričati, da imajo za svoje namestitve WordPress in Joomla močna gesla in edinstvena uporabniška imena.
V zadnjih nekaj dneh so storilci znatno napredovali pri grobi sili, poskusnih prijavah na slovarje proti blogom WordPress in spletnim mestom Joomla, poročajo poročila CloudFlare, HostGator in številnih drugih podjetij. Napad išče običajna imena računov, kot je "admin", na spletnem mestu in sistematično poskuša skupna gesla, da bi vdrla v račun.
Skrbniki ne želijo, da bi nekdo prekinil dostop do svojih spletnih mest, saj bi ta napadalec lahko poškodoval spletno mesto ali vgradil zlonamerno kodo, da bi okužil druge ljudi z zlonamerno programsko opremo. Vendar organizirana narava napada in njegovo obsežno delovanje pomenita še bolj zlovešče cilje. Verjetno se napadalci poskušajo uveljaviti na strežniku, da bi lahko našli način, kako prevzeti celoten stroj. Spletni strežniki so na splošno močnejši in imajo večje pasovne širine kot domači računalniki, zaradi česar so privlačni cilji.
"Napadalec uporablja razmeroma šibek botnet domačih osebnih računalnikov, da bi zgradil veliko večji botnet plemenitih strežnikov za pripravo na prihodnji napad, " je na blogu podjetja zapisal Matthew Prince, izvršni direktor CloudFlare.
Robot Brobot, za katerega raziskovalci verjamejo, da stoji za množičnimi napadi za zavrnitev storitve na ameriške finančne institucije, ki so se začeli lansko jesen, je sestavljen iz ogroženih spletnih strežnikov. "Ti večji stroji lahko povzročijo veliko več škode pri napadih DDoS, ker imajo strežniki velike omrežne povezave in so sposobni ustvariti velike količine prometa, " je dejal Prince.
Računi s prisilnimi računi
Napadalci uporabljajo taktiko brutalne sile, da vdrejo v uporabniške račune za mesta WordPress in Joomla. Prvih pet uporabniških imen, na katera cilja, so "admin", "test", "administrator", "Administrator" in "root". V napadu brutalne sile storilci sistematično preizkušajo vse možne kombinacije, dokler se uspešno ne prijavijo na račun. Lažje je uganiti in ugotoviti preprosta gesla, kot so številčna zaporedja in slovarske besede, botnet pa avtomatizira celoten postopek. Prvih pet gesel, ki jih poskusi poskusiti, je "admin", "123456", "111111", "666666" in "12345678."
Če uporabljate splošno uporabniško ime ali skupno geslo, ga takoj spremenite v nekaj manj očitnega.
"Naredite to in premagali boste 99 odstotkov spletnih mest tam in verjetno nikoli ne bodo imeli težav, " je na svojem blogu zapisal Matt Mullenweg, ustvarjalec WordPressa.
Presežek obsega napada
Sucurijeva statistika kaže, da se napadi povečujejo. Podjetje je decembra blokiralo 678.519 poskusov prijave, nato januarja 1.252.308 poskusov prijave, februarja 1.034.323 poskusov prijave, marca pa 950.389 poskusov, Daniel Cid, CTO iz Sucurija, na svojem blogu. V prvih desetih dneh aprila je Sucuri že blokiral 774.104 poskusov prijave, je dejal Cid. To je pomemben skok, saj gre v povprečju od 30 tisoč do 40 tisoč napadov na dan do približno 77.000 na dan, v tem mesecu pa so bili dnevi, ko napadi presegajo 100.000 na dan, je dejal Sucuri.
"V teh primerih s samim dejstvom, da imate uporabniška imena, ki niso skrbniki / administrator / root, samodejno ne deluje, " je dejal Cid, preden je dodal: "Kar je pravzaprav lepo."
Namigi za velik Botnet
Obseg napada namiguje na velikost botneta. HostGator ocenjuje, da je v ta napad vključenih najmanj 90.000 računalnikov, CloudFlare pa meni, da se "uporablja več kot deset tisoč tisoč edinstvenih naslovov IP".
Bonetnet je sestavljen iz ogroženih računalnikov, ki prejemajo navodila od enega ali več centraliziranih strežnikov za vodenje in nadzor in izvajajo te ukaze. Ti računalniki so bili večinoma okuženi z nekakšno zlonamerno programsko opremo in uporabnik se sploh ne zaveda, da napadalci nadzorujejo naprave.
Močne poverilnice, posodobljena programska oprema
Napadi na priljubljene sisteme za upravljanje vsebin niso nič novega, zaskrbljujoč pa je obseg in nenadna rast. Na tej točki ni veliko skrbnikov, ki bi lahko uporabili močno kombinacijo uporabniškega imena in gesla ter zagotovili, da so CMS in z njim povezani vtičniki posodobljeni.
"Če še vedno uporabljate 'admin' kot uporabniško ime na svojem spletnem dnevniku, ga spremenite, uporabite močno geslo, če ste na WP.com, vklopite dvofaktorsko preverjanje pristnosti in seveda poskrbite, da ste na voljo datum na zadnji različici WordPressa, "je dejal Mullenweg. WordPress 3.0, izdan pred tremi leti, uporabnikom omogoča ustvarjanje uporabniškega imena po meri, zato ni razloga, da bi še vedno imeli geslo "admin" ali "Administrator".
