Зафиксирована массовая атака, нацеленная на создание ботнета из сайтов на базе WordPress Последние несколько дней в Сети наблюдается интенсивная Brute Force атака, направленна на подбор паролей для аккаунтов сайтов на базе свободного движка WordPress. Атака носит массовый характер и организована с использованием крупного ботнета. Попавшие под действие атаки сайты подвергаются проверке входа под логином "admin" через страницы /wp-login.php и /wp-admin с использованием примерно тысячи наиболее популярных паролей. В случае если подбор пароля оказался успешен, в движок WordPress внедряется бэкдор, который подсоединяет взломанный сайт в состав ботнета и позволяет сохранить контроль даже после смены пароля. Поражённый хост начинает участвовать в Brute Force атаке для выявления других жертв, но также может принимать команды и выполнять другие действия, типичные для ботнетов, такие как совершение DDoS-атак. Текущий размер ботнета из WordPress серверов уже оценивается в более чем 90 тысяч хостов. Отмечается, что ботнет из серверов значительно более опасен в плане совершения DDoS-атак, чем ботнет из пользовательских машин, так как серверные системы имеют доступ к более широким каналам связи (стомегабитный порт для сервера в крупном датацентре уже в порядке вещей) и более болезненны при блокировке (на одном IP могут находиться сотни сайтов). При этом, даже не связанный с DDoS-атакой трафик, генерируемый в процессе наблюдаемого подбора парлей, негативно повлиял на деятельность некоторых хостинг-компаний, так как он существенно искажает типичную для хостинг операторов ориентацию на преобладание исходящего трафика. Тем не менее, некоторые эксперты отвергают сведения об участии взломанных серверов в Brute Force атаке, считая, что целью их взлома является распространение вредоносного ПО для поражения клиентских систем, путем подстановки на страницы поражённых сайтов кода для эксплуатации уязвимостей в браузерах и популярных плагинов к ним. Всем администраторам блогов на базе движка WordPress рекомендуется убедиться в использовании надёжного несловарного пароля для своих аккаунтов. Кроме того, для блокирования атаки советуют не использовать для администратора логин admin, защитить доступ к скрипту wp-login.php через дополнительною Basic-аутентификацию на уровне http-сервера или разрешить вход только с определённых IP. Для ещё более серьёзной защиты можно использовать дополнения с реализацией двухуровневой аутентификации с одноразовыми паролями. Владельцам уже взломанных сайтов рекомендуется переустановить с нуля WordPress, обновить секретные ключи и поменять все пароли. 13.04.2013 http://www.opennet.ru/opennews/art.shtml?num=36689 http://krebsonsecurity.com/2013/04/brute-force-attacks-build-wordpress-botnet/
Брутфорс-флуд админпанелей WordPress в глобальном масштабе Защитная компания CloudFlare сообщила об атаке против «большого количества блогов по всему интернету». Боты пытаются авторизоваться в административной панели каждого блога WordPress. Боты заходят на страницы /wp-login.php и /wp-admin, используя имя пользователя admin и перебирая различные варианты паролей. Доступ к каждой панели осуществляется с тысяч разных IP-адресов, чтобы затруднить блокировку. По предварительным оценкам, в атаке участвует около 90 тыс. ботов. По информации некоторых специалистов, такой брутфорс они наблюдают уже очень давно в «фоновом режиме». Впрочем, в апреле явно заметно увеличение активности злоумышленников. В качестве имени пользователя боты используют не только admin. В логе указано количество сайтов, против которых использован тот или иной логин. Инструкции по установке защитных модулей против брутфорса см. здесь. Список используемых ботами паролей даёт пищу для размышлений, потому что там встречаются некие странные пароли. В конце концов, вот список наиболее часто встречающихся в логах IP-адресов, с которых осуществляется брутфорс. #количество попыток – IP-адрес 13.04.2013 http://www.xakep.ru/post/60448/ http://blog.cloudflare.com/patching-the-internet-fixing-the-wordpress-br