Аналитики, занимающиеся компьютерной безопасностью, обнаружили возрастающее количество атак, направленных на управляющие сервера, которые содержат приложения WordPress. Неизвестные хакеры, которые стоят за значительно раскрученной атакой, используют около 90 000 IP адресов для взлома административных привилегий на подверженных взлому системах с WordPress.
Как минимум одна компания выдала предупреждение о том, что злоумышленники находятся в процессе построения ботнет-сети из зараженных серверов, которая значительно сильнее и намного более разрушительна, чем все, использующиеся до сих пор. Такая систуация возникла из-за того, что сервера имеют перекрестные соединения, которые в десятки, сотни и даже тысячи раз быстрее, чем ботнет-сети, составленные из зараженных персональных компьютеров в частных домах и компаниях.
«Такие сервера могут причинить намного больший ущерб за счет DDoS атак, так как сервера соединены в быстрые сети и могут генерировать намного более плотный трафик», — заявил директор сети доставки контента CloudFlare, Мэтью Принц в статье в своем блоге, посвященном этим атакам.
Уже не в первый раз исследователи поднимают проблему супер ботнет-сетей с потенциально ужасающими последствиями для всего Интернет. В октябре ими были выявлены высоко истощающие DDoS атаки на шесть крупнейших банков в США с использованием зараженных серверов, которые переполняли свои жертвы невообразимым количеством трафика. Подобные ботнет-сети называют itsoknoproblembro или Brobot, то есть именами относительно новых программных комплексов, которые управляют зараженными машинами. Если ранее компьютеры, использовавшиеся для DDoS атак были эквивалентны десяткам тысяч небольших садовых шлангов, направленных на цель, то сервера, использующиеся в Brobot схожи с сотнями пожарных насосов. Даже несмотря на их небольшое количество, они тем не менее способны нанести намного больший ущерб за счет своей большей мощности.
Уже существуют доказательства, что некоторые из вебсайтов, которые построены на основе WordPress были использованы в подобных случаях. Один из блогов, который хостится у провайдера ResellerClub, в пятницу сообщил, что системы компании, управляющие этой платформой были подвержены «все возрастающему количеству крайне распределенных глобальных атак».
«В подтверждение можно привести историю, приводимую крупным агентства по защите правопорядка, которые утверждают о том, что им пришлось отражать массированные атаки на финансовые институты США, направленные с их собственных серверов», утверждается в блоге. «Мы провели детальный анализ модели атак и обнаружили, что большинство из них производилось из систем управления контентом (CMS). Дальнейший анализ показал то, что учетные записи на этих системах были взломаны и в сервера были встроены вредоносные скрипты».
Сегодня эти атаки происходят на глобальном уровне и в основном заражению подвергаются CMS WordPress, установленные у крупных хостинговых провайдеров. Так как атаки сильно распределены, то и отражать их одновременно не получается.
По словам Мэтью Принца, распределенные атаки пытаются взломать административные панели серверов с WordPress, с использованием имени пользователя «admin», перебирая за раз до тысячи паролей. Такие атаки проводятся с десятков тысяч различных IP адресов, по оценкам хостинговой компании, держащей сервера с WordPress, таких адресов насчитали около 90 000.
«В настоящее время мы сильно рекомендуем владельцам сайтов с WordPress изменить пароли на такие, которые соответствуют требованиям безопасности, указанным на сайте компании WordPress», написал один из разработчиков, Син Валант. «Эти требования зачастую таковы: использовать буквы в верхнем и нижнем регистрах, при длине минимум в восемь знаков и с использованием специальных символов».
Владельцам сайтов с WordPress также рекомендуют использовать и другие меры предосторожности, такие как установка определенных патчей, которые исправляют дыры в безопасности и часто используются злоумышленниками для проведения атак. Вместе с этим, владельцы могут подписаться на план защиты от CloudFlare, который автоматически блокирует попытки входа, которые носят следы грубого взлома.
По словам HostGator, они обнаружили что вследствие удачных атак, происходит значительная нагрузка на вебсайты, которые либо сильно замедляют работу, либо вообще прекращают ее. Это становится признаком того, что один из сайтов с WordPress уже заражен и в него внедрен бэкдор, вследствие чего злоумышленник может установить контроль даже после изменения доступа к административным записям взломанного сайта. В некоторых случаях эти атаки могут продолжиться на сам программный комплекс сервера Apache, как это было зафиксировано десять дней назад.