Masveidā "brutforsē" WordPress blogus

This topic has 3 atbilžu, 4 voices, and was last updated pirms 12 years, 7 months by APOC.

Tiek skatīts 4 ierakstu – 1 līdz 4 (no 4 kopumā)

Autors

Ieraksti
14. Apr, 2013 at 08:02 #158118

samurajs
Participant

Pēdējā laikā novēroti masveidīgi botu tīkli uzbrukumi WordPress bāzētām tīmekļa lapām, ziņo Xakep.ru ar atsauci uz datordrošības kompāniju CloudFlare. Boti sameklē WordPress lapas visā internetā un ieiet /wp-login.php un /wp-admin ar lietotājvārdu “admin” un cenšas uzminēt paroli. Lai nevarētu bloķēt piekļuvi, uzbrukumā izmanto tūkstošiem IP adrešu. Pavisam reģistrēts ap 90,000 botu.

Š ādi uzbrukumi tikuši fiksēti jau kopš decembra mēneša, bet šomēnes tie kļuvuši īpaši intensīvi – aprīlī ik dienas notikuši vidēji 77,000 mēģinājumi. Tiem par upuri kļuvis arī tāds pazīstams portāls kā Arstechnika.

Boti izmantoja ne tikai lietotājvārdu “admin”, bet arī

652,911 [log] => admin

10173 [log] => test

8992 [log] => administrator

8921 [log] => Admin

2495 [log] => root

Populārākie paroļu bruteforsēšanas mēģinājumi:

[spoil]

16,798 [pwd] => admin

10,880 [pwd] => 123456

9,727 [pwd] => 666666

9,106 [pwd] => 111111

7,882 [pwd] => 12345678

7,717 [pwd] => qwerty

7,295 [pwd] => 1234567

6,160 [pwd] => #@F#GBH$R^JNEBSRVWRVW

5,640 [pwd] => password

5,446 [pwd] => 12345

5,392 [pwd] => $#GBERBSTGBR%GSERHBSR

5,058 [pwd] => %G#GBAEGBW%HBFGBFXGB

5,024 [pwd] => RGA%BT%HBSERGAEEAHAEH

4,861 [pwd] => aethAEHBAEGBAEGEE%

4,317 [pwd] => 123

4,281 [pwd] => 123qwe

4,133 [pwd] => 123admin

4,092 [pwd] => 12345qwe

4,086 [pwd] => 12369874

3,880 [pwd] => 123123

3,831 [pwd] => 1234qwer

3,814 [pwd] => 1234abcd

3,787 [pwd] => 123654

3,751 [pwd] => 123qwe123qwe

3,744 [pwd] => 123abc

3,623 [pwd] => 123qweasd

3,606 [pwd] => 123abc123

3,422 [pwd] => 12345qwert[/spoil]

Populārākās botu IP adreses (reģistrēto reižu skaits, IP):

[spoil]

41315 31.184.238.38

10004 178.151.216.53

9817 91.224.160.143

8773 195.128.126.6

6838 85.114.133.118

6624 177.125.184.8

5896 89.233.216.203

5534 89.233.216.209

5469 109.230.246.37

5364 188.175.122.21

5110 46.119.127.1

4485 176.57.216.198

4205 173.38.155.22

4114 67.229.59.202

3956 94.242.237.101

3460 209.73.151.64

3443 212.175.14.114

3294 78.154.105.23

3162 50.116.27.19

3054 195.128.126.114

2740 78.153.216.56

2732 31.202.217.135

2661 204.93.60.182

2520 173.38.155.8

2371 204.93.60.75

2303 50.117.59.3

2301 209.73.151.229

2287 216.172.147.251

2234 204.93.60.57

2227 94.199.51.7

2215 204.93.60.185[/spoil]

Jaunākā informācija par sava WordPress bloga aizsardzību – šeit

~~[img]~~https://notepad.lv/userpix/28_wordpresschangepassword_1.png[/img]

14. Apr, 2013 at 15:08 #296586

usins
Participant

Prieks kur tu rodies. Nu citreiz tā vien šķiet, ka mazpazīstamie cms ir labāki. Bet no otras puses, tie mazie var saturēt daudz nopietnākus caurumus…

Bet nu vismaz šis raksts lika pačekot to klietnu lapas, kuri izvēlējušies wordpress. laikam jāliek mainīt paroles.

15. Apr, 2013 at 06:58 #296587

BlackHalt
Participant

Es parasti to standarta WP lietotāju “admin” nomainu pret kādu citu.

15. Apr, 2013 at 08:35 #296588

APOC
Participant

Paroles maiņa gan neko daudz nedos:

a. viegls login/parole, tiec nogāzts. Iespējams, ka tevi vairs neaiztiek.

b. login/parole sarežģīta un tevi nonstopā bombardē ar pieprasījumiem. Sāc likt visādus filtrus, ierobežot resursu, bla bla bla… Panesās jau idejas bloķēt ISP līmenī.

Paslasīju rakstam pievienotajā linkā kā šo cilvēki risina un vieni vienīgi workaround, bet pati būtība, to pēc kā bots identificē, ka tas ir WP saits ne vārda. Manuprāt, problēma būtu jārisina šajā līmenī vispirms. Vismaz, lai paglābtu tos, kas tikai tagad sākt cept WP lapas un viņu DNS vēl nav nonākuši nekādos WP related sarakstos.
Autors

Ieraksti