26.07.2014 | Эксперты: Для брутфорс-атак на WordPress используется протокол XMLRPC |
По данным экспертов из ИБ-компании Sucuri, в наше время брутфорс-атаки на web-сайты, работающие на WordPress, являются привычным явлением. С помощью своих honeypot исследователи ежедневно фиксируют сотни попыток подобрать пароль, осуществляемые ботнетами: user: admin, pass: admin user: admin, pass: 123456 user: admin, pass: 123123 user: admin, pass 112233 user: admin, pass: pass123 Эти пароли кажутся маловероятными, однако, перебрав 200-300 паролей по словарю, боты способны проникнуть в большинство сайтов. Обычно подобные брутфорс-атаки осуществляются через /wp-login.php. Однако они постепенно эволюционируют и теперь при подборе паролей используют метод XMLRPC wp.getUsersBlogs. Причиной смены тактики для злоумышленников стал тот факт, что использование протокола XMLRPC существенно ускоряет процесс подбора. Кроме того, такую атаку сложнее обнаружить. Осуществления атаки возможно по причине того, что многие запросы к реализации WordPress XMLRPC требуют имя пользователя и пароль. Исследователи зафиксировали использование в атаках wp.getUsersBlogs, wp.getComments и др. В случае предоставления им пароля, они подтверждают его подлинность: <methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value> <string>admin</string></value></param> <param><value><string>112233</string></value></param></params> </methodCall> Примечательно, что помимо пароля, злоумышленники также подбирают имя пользователя. Вместо того, чтобы использовать «admin», они пытаются определить доменное имя, а также настоящее имя администратора. По данным исследователей, за последние несколько недель количество подобных атак возросло в десятки раз – с 17 тыс. в начале июля до 2 млн. В некоторые дни эксперты из Sucuri фиксировали до 200 тысяч попыток брутфорса. |
Проверить безопасность сайта