Vídeo: HACKLOG 2x16 - Bruteforce Web, атаки грубой силы. (Outubro 2024)
Atualmente, milhares de sites WordPress e Joomla estão sendo atacados por uma grande senha de força bruta de botnet. Os administradores precisam garantir senhas fortes e nomes de usuário exclusivos para suas instalações WordPress e Joomla.
Nos últimos dias, os autores intensificaram significativamente as tentativas de login baseadas em dicionário de força bruta contra blogs WordPress e sites Joomla, de acordo com relatórios do CloudFlare, HostGator e várias outras empresas. O ataque procura nomes de contas comuns, como "admin", no site e tenta sistematicamente senhas comuns para invadir a conta.
Os administradores não querem que alguém interrompa o acesso aos sites, pois esse invasor pode desfigurar o site ou incorporar código malicioso para infectar outras pessoas com malware. No entanto, a natureza organizada do ataque e sua operação em larga escala implica objetivos ainda mais sinistros. Parece provável que os invasores estão tentando se posicionar no servidor para que possam descobrir uma maneira de dominar toda a máquina. Os servidores da Web geralmente são mais poderosos e têm maior largura de banda do que os computadores domésticos, tornando-os alvos atraentes.
"O invasor está usando um botnet relativamente fraco de PCs domésticos para criar um botnet muito maior de servidores robustos, em preparação para um ataque futuro", escreveu Matthew Prince, CEO da CloudFlare, no blog da empresa.
A botnet Brobot, que os pesquisadores acreditam estar por trás dos ataques maciços de negação de serviço contra as instituições financeiras dos EUA a partir do outono passado, é composta de servidores Web comprometidos. "Essas máquinas maiores podem causar muito mais danos nos ataques DDoS porque os servidores têm grandes conexões de rede e são capazes de gerar quantidades significativas de tráfego", afirmou Prince.
Contas de força bruta
Os atacantes estão usando táticas de força bruta para invadir contas de usuários de sites WordPress e Joomla. Os cinco principais nomes de usuários segmentados são "admin", "test", "administrador", "Admin" e "root". Em um ataque de força bruta, os criminosos experimentam sistematicamente todas as combinações possíveis até que efetuem login na conta. É mais fácil adivinhar e descobrir senhas simples, como sequências numéricas e palavras do dicionário, e uma botnet automatiza todo o processo. As cinco principais senhas tentadas neste ataque são "admin", "123456", "111111", "666666" e "12345678".
Se você estiver usando um nome de usuário ou senha comum, altere-o imediatamente para algo menos óbvio.
"Faça isso e você estará à frente de 99% dos sites por aí e provavelmente nunca terá um problema", escreveu Matt Mullenweg, criador do WordPress, em seu blog.
Surto no volume de ataque
As estatísticas da Sucuri indicam que os ataques estão aumentando. A empresa bloqueou 678.519 tentativas de login em dezembro, seguidas por 1.252.308 tentativas de login bloqueadas em janeiro, 1.034.323 tentativas de login em fevereiro e 950.389 tentativas em março, Daniel Cid, CTO da Sucuri, no blog da empresa. Nos primeiros 10 dias de abril, a Sucuri já bloqueou 774.104 tentativas de login, disse Cid. É um salto significativo, passando de 30 mil para 40 mil ataques por dia para cerca de 77 mil por dia, em média, e houve dias neste mês em que os ataques excederam 100 mil por dia, disse Sucuri.
"Nesses casos, pelo simples fato de ter um nome de usuário não administrador / administrador / raiz, você fica automaticamente fora de funcionamento", disse Cid, antes de acrescentar: "O que é realmente bom".
Dicas de um botnet grande
O volume do ataque é uma dica do tamanho da botnet. O HostGator estimou que pelo menos 90.000 computadores estão envolvidos nesse ataque e o CloudFlare acredita que "mais de dezenas de milhares de endereços IP exclusivos" estão sendo usados.
Uma botnet é composta de computadores comprometidos recebendo instruções de um ou mais servidores de comando e controle centralizados e executando esses comandos. Na maior parte, esses computadores foram infectados com algum tipo de malware e o usuário nem sabe que os invasores estão controlando as máquinas.
Credenciais fortes, software atualizado
Ataques contra sistemas populares de gerenciamento de conteúdo não são novos, mas o grande volume e o aumento repentino são preocupantes. Neste ponto, não há muito que os administradores possam fazer além de usar uma combinação forte de nome de usuário e senha e garantir que o CMS e os plugins associados estejam atualizados.
"Se você ainda usa 'admin' como um nome de usuário no seu blog, altere-o, use uma senha forte, se estiver no WP.com, ative a autenticação de dois fatores e, claro, verifique se você está atualizado data da última versão do WordPress ", disse Mullenweg. O WordPress 3.0, lançado há três anos, permite que os usuários criem um nome de usuário personalizado, portanto não há motivo para ainda ter uma senha de "administrador" ou "Administrador".
