Video: HACKLOG 2x16 - Bruteforce Web, Attacchi a Forza Bruta sui Login Form (Settembre 2024)
Migliaia di siti WordPress e Joomla sono attualmente sotto attacco da parte di una grande botnet che costringe le password. Gli amministratori devono assicurarsi di disporre di password complesse e nomi utente univoci per le loro installazioni WordPress e Joomla.
Negli ultimi giorni, gli autori hanno intensificato in modo significativo i tentativi di accesso basati su dizionario e bruti contro blog WordPress e siti Joomla, secondo i rapporti di CloudFlare, HostGator e diverse altre società. L'attacco cerca nomi di account comuni, come "admin", sul sito e cerca sistematicamente password comuni per entrare nell'account.
Gli amministratori non vogliono che qualcuno si rompa nell'ottenere l'accesso ai loro siti, poiché quell'aggressore potrebbe deturpare il sito o incorporare codice dannoso per infettare altre persone con malware. Tuttavia, la natura organizzata dell'attacco e la sua operazione su larga scala implicano obiettivi ancora più sinistri. Sembra probabile che gli aggressori stiano tentando di ottenere un punto d'appoggio sul server in modo che possano capire un modo per assumere l'intera macchina. I server Web sono generalmente più potenti e hanno tubi di larghezza di banda più grandi rispetto ai computer di casa, rendendoli obiettivi interessanti.
"L'aggressore sta usando una botnet relativamente debole di PC domestici al fine di costruire una botnet molto più grande di server robusti in preparazione per un attacco futuro", ha scritto Matthew Prince, CEO di CloudFlare, sul blog aziendale.
La botnet Brobot, che i ricercatori ritengono fossero dietro i massicci attacchi denial of service contro le istituzioni finanziarie statunitensi a partire dallo scorso autunno, è composta da server Web compromessi. "Queste macchine più grandi possono causare molti più danni negli attacchi DDoS perché i server hanno connessioni di rete di grandi dimensioni e sono in grado di generare quantità significative di traffico", ha affermato Prince.
Conti di forza bruta
Gli aggressori usano tattiche di forza bruta per penetrare negli account utente dei siti WordPress e Joomla. I primi cinque nomi utente scelti come target sono "admin", "test", "administrator", "Admin" e "root". In un attacco a forza bruta, gli autori provano sistematicamente tutte le possibili combinazioni fino a quando non accedono correttamente all'account. È più facile indovinare e capire semplici password come sequenze di numeri e parole del dizionario e una botnet automatizza l'intero processo. Le prime cinque password tentate in questo attacco sono "admin", "123456", "111111", "666666" e "12345678."
Se si utilizza un nome utente comune o una password comune, modificarlo immediatamente in qualcosa di meno ovvio.
"Fai questo e sarai davanti al 99 percento dei siti là fuori e probabilmente non avrai mai problemi", ha scritto Matt Mullenweg, creatore di WordPress, sul suo blog.
Impulso nel volume di attacco
Le statistiche di Sucuri indicano che gli attacchi sono in aumento. La società ha bloccato 678.519 tentativi di accesso a dicembre, seguiti da 1.252.308 tentativi di accesso bloccati a gennaio, 1.034.323 tentativi di accesso a febbraio e 950.389 tentativi a marzo, Daniel Cid, CTO di Sucuri, sul blog aziendale. Nei primi 10 giorni di aprile, tuttavia, Sucuri ha già bloccato 774.104 tentativi di accesso, ha affermato Cid. Questo è un salto significativo, che va da 30 mila a 40 mila attacchi al giorno a circa 77000 al giorno in media, e ci sono stati giorni in cui gli attacchi hanno superato i 100.000 al giorno, ha detto Sucuri.
"In questi casi, per il semplice fatto di avere un nome utente non amministratore / amministratore / root, sei automaticamente fuori gioco", ha detto Cid, prima di aggiungere, "Il che è abbastanza carino in realtà."
Cenni di una grande botnet
Il volume di attacco è un suggerimento per le dimensioni della botnet. HostGator ha stimato che almeno 90.000 computer sono coinvolti in questo attacco e CloudFlare ritiene che vengano utilizzati "più di decine di migliaia di indirizzi IP univoci".
Una botnet è composta da computer compromessi che ricevono istruzioni da uno o più server di comando e controllo centralizzati ed eseguono tali comandi. Per la maggior parte, questi computer sono stati infettati da un qualche tipo di malware e l'utente non è nemmeno consapevole che gli aggressori controllano le macchine.
Credenziali forti, software aggiornato
Gli attacchi contro i più diffusi sistemi di gestione dei contenuti non sono nuovi, ma il volume e l'improvviso aumento sono preoccupanti. A questo punto, non c'è molto che gli amministratori possano fare oltre a utilizzare una combinazione forte di nome utente e password e garantire che CMS e plug-in associati siano aggiornati.
"Se usi ancora 'admin' come nome utente sul tuo blog, modificalo, usa una password complessa, se sei su WP.com attiva l'autenticazione a due fattori e, naturalmente, assicurati di essere aggiornato data sull'ultima versione di WordPress ", ha detto Mullenweg. WordPress 3.0, rilasciato tre anni fa, consente agli utenti di creare un nome utente personalizzato, quindi non c'è motivo di avere ancora una password "admin" o "Administrator".
