Массовый брут паролей сайтов на WordPres и Joomla |
||
22:36 5 августа 2013 — Петелин Андрей |
Взломами через различные уязвимости в этих CMS и сторонних модулях уже никого не удивишь, но в последние дни так называемые хакеры решили перейти к открытой массовой атаке — брутят пароли в админку.
POST запросы идут на страницы wp-login.php и соответственно administrator/index.php
В основном пытаются подобрать только пароль, логин используют "admin"
Текущая атака идет практически на все сайты с установленными WordPres или Joomla.
По глобальным меркам атака достаточно мощная.
К слову, если взломают ваш сайт вы скорее всего этого и не заметите, до тех пор пока кто-нибудь не напишит "благодарность" вашему хостеру за письма счастья.
Обычно через такие взломанные сайты рассылают грязный спам, но бывают и другие ситуации. Например могут поставить рандомный редирект юзеров с поисковиков или, к примеру, редирект с мобильных устройств. Кстати такие редиректы могут серьезно повлиять на ваше SEO продвижение.
При текущей массовой атаке проще всего избежать взлома админки и лишней нагрузки на сервер через дополнительную аутентификацию на уровне сервера — Basic или Digest.
Так же желательно проверить файлы CMS на наличие изменений.
P.S. Предупрежден — значит вооружен
POST запросы идут на страницы wp-login.php и соответственно administrator/index.php
В основном пытаются подобрать только пароль, логин используют "admin"
Текущая атака идет практически на все сайты с установленными WordPres или Joomla.
По глобальным меркам атака достаточно мощная.
К слову, если взломают ваш сайт вы скорее всего этого и не заметите, до тех пор пока кто-нибудь не напишит "благодарность" вашему хостеру за письма счастья.
Обычно через такие взломанные сайты рассылают грязный спам, но бывают и другие ситуации. Например могут поставить рандомный редирект юзеров с поисковиков или, к примеру, редирект с мобильных устройств. Кстати такие редиректы могут серьезно повлиять на ваше SEO продвижение.
При текущей массовой атаке проще всего избежать взлома админки и лишней нагрузки на сервер через дополнительную аутентификацию на уровне сервера — Basic или Digest.
Так же желательно проверить файлы CMS на наличие изменений.
P.S. Предупрежден — значит вооружен
Понравился пост?Да НетПонравилось 7, не понравилось 1 |
Расскажите о нас... |
7 комментариев
+ Добавить комментарийВ итоге на днях их вырубили, написал ТП.
Мой вопрос: “Здравствуйте, уже несколько дней не работают сайты расположенные на вашем хостинге”
Ответ ТП: http://clip2net.com/s/5zh49z
Значит слышали, а почему так ответили?
Это первый негативный момент за несколько лет работы с MI.
Понятно, что человеческий фактор, но уведомления надо было слать.
setcookie('test_cookie', '1');
if(!isset($_COOKIE['test_cookie'])){
echo '
Защита от взлома
Если Вы видите это сообщение просто обновите страницу.
';
exit();
}
На серваке порядка 250 жумл и средняя нагрузка была в районе 80-100, после применения этого куска упала до 0.1-0.2.
Но такой вариант конечно как времянка. Он многое не учитывает и вообще я бы перенес обработку таких атак до бекэнда.