Video: Brute Forcing WordPress Passwords (September 2024)
Tusentals WordPress- och Joomla-webbplatser attackeras för närvarande av ett stort botnet-brute-tvingande lösenord. Administratörer måste se till att de har starka lösenord och unika användarnamn för sina WordPress- och Joomla-installationer.
Under de senaste dagarna har förövarna avsevärt ökat på brute-force, ordbok-baserade inloggningsförsök mot WordPress-bloggar och Joomla-webbplatser, enligt rapporter från CloudFlare, HostGator och flera andra företag. Attacken letar efter vanliga kontonamn, till exempel "admin" på webbplatsen och försöker systematiskt använda vanliga lösenord för att bryta sig in i acocunt.
Administratörer vill inte att någon bryter in sig för att få åtkomst till sina webbplatser, eftersom den angriparen kan skräddarsy webbplatsen eller bädda in skadlig kod för att infektera andra människor med skadlig kod. Attackens organiserade karaktär och dess omfattande operation innebär emellertid ännu mer olyckliga mål. Det verkar troligt att angriparna försöker få fotfäste på servern så att de kan hitta ett sätt att ta över hela maskinen. Webbserver är i allmänhet kraftigare och har större bandbreddsledningar än hemmadatorer, vilket gör dem till attraktiva mål.
"Angriparen använder ett relativt svagt botnet av hemdatorer för att bygga ett mycket större botnet med nötkött servrar för att förbereda en framtida attack, " skrev Matthew Prince, VD för CloudFlare, på företagets blogg.
Brobot-botnet, som forskarna tror att stod bakom de massiva attackerna mot förnekande av tjänster mot de amerikanska finansinstituten som började förra hösten, består av komprometterade webbserver. "Dessa större maskiner kan orsaka mycket större skador i DDoS-attacker eftersom servrarna har stora nätverksanslutningar och kan generera betydande trafikmängder, " sade Prince.
Brute-Tvingande konton
Angriparna använder brute-force-taktik för att bryta in användarkonton för WordPress- och Joomla-webbplatser. De fem bästa användarnamnen som är inriktade är "admin", "test", "administratör", "Admin" och "root". I en brute-force-attack försöker förövarna systematiskt alla möjliga kombinationer tills de lyckas logga in på kontot. Det är lättare att gissa och räkna ut enkla lösenord som nummersekvenser och ordbok, och ett botnet automatiserar hela processen. De fem bästa lösenorden som försöks i denna attack råkar vara "admin", "123456, " "111111, " "666666" och "12345678."
Om du använder ett vanligt användarnamn eller ett vanligt lösenord, ändra det omedelbart till något mindre uppenbart.
"Gör detta så kommer du att ligga före 99 procent av webbplatserna där ute och har förmodligen aldrig några problem, " skrev Matt Mullenweg, skapare av WordPress, på sin blogg.
Överspänning i attackvolym
Sucuris statistik indikerar att attackerna ökar. Företaget blockerade 678 519 inloggningsförsök i december, följt av 1 252 308 inloggningsförsök som blockerades i januari, 1 034 323 inloggningsförsök i februari och 950 389 försök i mars, Daniel Cid, CTO för Sucuri, på företagets blogg. Under de första tio dagarna av april har dock Sucuri redan blockerat 774.104 inloggningsförsök, sa Cid. Det är ett betydande hopp som går från 30 tusen till 40 tusen attacker per dag till cirka 77 000 per dag i genomsnitt, och det har funnits dagar den här månaden där attackerna överskred 100 000 per dag, sa Sucuri.
"I dessa fall, genom det rena faktumet att ha ett icke-admin / administratör / root användarnamn, är du automatiskt ute, " sa Cid, innan han lägger till, "Vilket är egentligen trevligt."
Tips om ett stort botnet
Attackvolymen är en antydan om botnets storlek. HostGator uppskattar att minst 90 000 datorer är involverade i denna attack, och CloudFlare anser att "mer än tiotusentals unika IP-adresser" används.
Ett botnet består av komprometterade datorer som tar emot instruktioner från en eller flera centraliserade kommando-och-kontroll-servrar och kör de kommandona. För det mesta har dessa datorer infekterats med någon form av skadlig programvara och användaren är inte ens medveten om att angriparna kontrollerar maskinerna.
Starka referenser, uppdaterad programvara
Attacker mot populära innehållshanteringssystem är inte nya, men den stora volymen och den plötsliga ökningen är oroande. Just nu är det inte mycket som administratörer kan göra utöver att använda en stark kombination av användarnamn och lösenord och se till att CMS och tillhörande plugins är uppdaterade.
"Om du fortfarande använder 'admin' som ett användarnamn på din blogg, ändra den, använd ett starkt lösenord, om du är på WP.com sätter du på tvåfaktorautentisering och ser självklart till att du är uppdaterad datum på den senaste versionen av WordPress, ”sa Mullenweg. WordPress 3.0, som släpptes för tre år sedan, tillåter användare att skapa ett anpassat användarnamn, så det finns ingen anledning att fortfarande ha ett "admin" eller "administratör" lösenord.
