Массовый брут паролей сайтов на WordPres и Joomla

7 1
22:36 5 августа 2013 — Петелин Андрей
Взломами через различные уязвимости в этих CMS и сторонних модулях уже никого не удивишь, но в последние дни так называемые хакеры решили перейти к открытой массовой атаке — брутят пароли в админку.

POST запросы идут на страницы wp-login.php и соответственно administrator/index.php
В основном пытаются подобрать только пароль, логин используют "admin"
Текущая атака идет практически на все сайты с установленными WordPres или Joomla.
По глобальным меркам атака достаточно мощная.

example

К слову, если взломают ваш сайт вы скорее всего этого и не заметите, до тех пор пока кто-нибудь не напишит "благодарность" вашему хостеру за письма счастья.
Обычно через такие взломанные сайты рассылают грязный спам, но бывают и другие ситуации. Например могут поставить рандомный редирект юзеров с поисковиков или, к примеру, редирект с мобильных устройств. Кстати такие редиректы могут серьезно повлиять на ваше SEO продвижение.

При текущей массовой атаке проще всего избежать взлома админки и лишней нагрузки на сервер через дополнительную аутентификацию на уровне сервера — Basic или Digest.
Так же желательно проверить файлы CMS на наличие изменений.

P.S. Предупрежден — значит вооружен

7 комментариев

+ Добавить комментарий
Лучшая рекомендация: не использовать джумлу и вордпресс вообще.
  • epexa
  • |
  • 12:43 6 августа 2013
А ещё можно добавить двухфакторную аутентификацию!
На серверы cloud.megaindex.ru сыпится по 10 000 таких запросов в секунду.
Как-то перенес пару старых блогов, а то забывал проплачивать хостинг.
В итоге на днях их вырубили, написал ТП.
Мой вопрос: “Здравствуйте, уже несколько дней не работают сайты расположенные на вашем хостинге”
Ответ ТП: http://clip2net.com/s/5zh49z
Значит слышали, а почему так ответили?
Это первый негативный момент за несколько лет работы с MI.
Понятно, что человеческий фактор, но уведомления надо было слать.
Я уже давно подготовился к брутам, закрыл по ip, вот и статью написал http://dyzzi.ru/zashhita-sajta-ot-vzloma-i-bruta.html
Как времянка, самый примитивный и действенный вариант:
setcookie('test_cookie', '1');
if(!isset($_COOKIE['test_cookie'])){
echo '
Защита от взлома
Если Вы видите это сообщение просто обновите страницу.
';
exit();
}
На серваке порядка 250 жумл и средняя нагрузка была в районе 80-100, после применения этого куска упала до 0.1-0.2.
Но такой вариант конечно как времянка. Он многое не учитывает и вообще я бы перенес обработку таких атак до бекэнда.
  • zusul
  • |
  • 15:35 8 августа 2013
я на вп и жумле закрыл доступы к wp-login.php и administrator/index.php в htaccess кроме своего ip и норм.

Только зарегистрированные пользователи могут добавлять комментарии.