Последние несколько дней в Сети наблюдается (http://krebsonsecurity.com/2013/04/brute-force-attacks-build.../) интенсивная Brute Force атака, направленна на подбор паролей для аккаунтов сайтов на базе свободного движка WordPress. Атака носит массовый характер, так как организована (http://blog.hostgator.com/2013/04/11/global-wordpress-brute-.../) с использованием крупного ботнета.
Попавшие под действие атаки сайты подвергаются (http://blog.cloudflare.com/patching-the-internet-fixing-the-...) проверке входа под логином "admin" через страницы /wp-login.php и /wp-admin с использованием примерно тысячи наиболее популярных паролей. В случае если подбор пароля оказался успешен, в движок WordPress внедряется бэкдор, который подсоединяет взломанный сайт в состав ботнета и позволяет сохранить контроль даже после смены пароля. Поражённый хост и начинает участвовать в Brute Force атаке для выявления других жертв, но также может принимать команды и выполнять другие действия, типичные для ботнетов, такие как совершение DDoS-атак. Текущий размер ботнета из WordPress серверов уже оценивается в более чем 90 тысяч хостов.
Отмечается, что ботнет из серверов значительно более опасен в плане совершения DDoS-атак, чем ботнет из пользовательских машин, так как серверные системы имеют доступ к более широким каналам связи (стомегабитный порт для сервера в крупном датацентре уже в порядке вещей) и более болезненны при блокировке (на одном IP могут находиться сотни сайтов). При этом, даже не связанный с DDoS-атакой трафик, генерируемый в процессе наблюдаемого подбора парлей, негативно повлиял на деятельность некоторых хостинг-компаний, так как он существенно искажает типичную для хостинг операторов ориентацию на преобладание исходящего трафика.
Тем не менее, некоторые эксперты отвергают (http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-at...) сведения об участии взломанных серверов в Brute Force атаке, считая, что целью их взлома является распространение вредоносного ПО для поражения клиентских систем, путем подстановки на страницы поражённых сайтов кода для эксплуатации уязвимостей в браузерах и популярных плагинов к ним.
Всем администраторам блогов на базе движка WordPress рекомендуется убедиться в использовании надёжного несловарного пароля для своих аккаунтов. Кроме того, для блокирования атаки советуют (http://ma.tt/2013/04/passwords-and-brute-force/) не использовать для администратора логин admin, защитить (http://support.hostgator.com/articles/specialized-help/techn...) доступ к скрипту wp-login.php через дополнительною Basic-аутентификацию на уровне http-сервера или разрешить (http://codex.wordpress.org/Hardening_WordPress) вход только с определённых IP. Для ещё более серьёзной защиты можно использовать (https://www.duosecurity.com/product) дополнения с реализацией двухуровневой аутентификации с одноразовыми паролями. Владельцам уже взломанных сайтов рекомендуется переустановить с нуля WordPress, обновить (http://codex.wordpress.org/Editing_wp-config.php#Secret_Key_...) секретные ключи и поменять все пароли.
URL: http://krebsonsecurity.com/2013/04/brute-force-attacks-build.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=36689
