当前,成千上万的WordPress和Joomla网站正受到大型僵尸网络暴力破解密码的攻击。 管理员需要确保他们的WordPress和Joomla安装具有强大的密码和唯一的用户名。
根据CloudFlare,HostGator和其他几家公司的报告,在过去的几天中,犯罪者已大大加强了针对WordPress博客和Joomla网站的基于字典的暴力破解尝试。 该攻击在站点上寻找通用帐户名,例如“ admin”,并系统地尝试使用通用密码以闯入该帐户。
管理员不希望有人闯入他们的网站,因为该攻击者可能破坏该网站或嵌入恶意代码以使其他人感染恶意软件。 但是,攻击的有组织性质及其大规模行动意味着目标更加险恶。 攻击者似乎可能试图在服务器上立足,以便他们能找到接管整个计算机的方法。 与家用计算机相比,Web服务器通常更强大并且具有更大的带宽管道,使其成为有吸引力的目标。
CloudFlare首席执行官Matthew Prince在公司博客中写道:“攻击者使用相对较弱的家用PC僵尸网络来构建更大的强大服务器僵尸网络,为将来的攻击做准备。”
Brobot僵尸网络由受损的Web服务器组成,研究人员认为该僵尸网络是去年秋天开始针对美国金融机构进行的大规模拒绝服务攻击的幕后黑手。 普林斯说:“这些较大的计算机在DDoS攻击中可能造成更多破坏,因为服务器具有较大的网络连接并能够产生大量流量。
蛮横账户
攻击者使用暴力手段侵入WordPress和Joomla网站的用户帐户。 定位的前五个用户名是“ admin”,“ test”,“ administrator”,“ Admin”和“ root”。 在暴力攻击中,作案者会系统地尝试所有可能的组合,直到他们成功登录该帐户为止。 猜测和找出简单的密码(例如数字序列和字典单词)更容易,而僵尸网络将整个过程自动化。 在此攻击中尝试使用的前五个密码分别是“ admin”,“ 123456”,“ 111111”,“ 666666”和“ 12345678”。
如果使用通用用户名或通用密码,请立即将其更改为不太明显的名称。
WordPress的创建者Matt Mullenweg在他的博客中写道:“这样做,您将领先99%的网站,而且可能永远不会出问题。”
攻击量激增
苏库里(Sucuri)的统计数据表明,攻击正在增加。 Sucuri的CTO Daniel Cid在公司博客上表示,该公司在12月阻止了678, 519次登录尝试,随后在1月阻止了1, 252, 308次登录尝试,在2月阻止了1, 034, 323次登录尝试,并在3月阻止了950, 389次尝试。 西德说,在4月的前10天中,Sucuri已经阻止了774, 104次登录尝试。 Sucuri说,这是一个巨大的飞跃,平均每天攻击次数从3万增加到4万,到每天大约77, 000,并且本月有些天每天攻击次数超过100, 000。
Cid说:“在这些情况下,由于拥有非管理员/管理员/超级用户名的事实,您会自动退出运行状态。”
大型僵尸网络的提示
攻击量暗示了僵尸网络的规模。 HostGator估计,至少有90, 000台计算机参与了此攻击,CloudFlare认为正在使用“数以万计的唯一IP地址”。
僵尸网络由受感染的计算机组成,这些计算机从一个或多个集中式命令和控制服务器接收指令并执行这些命令。 在大多数情况下,这些计算机已感染了某种恶意软件,用户甚至不知道攻击者正在控制这些计算机。
强大的凭据,更新的软件
攻击流行的内容管理系统并不是什么新鲜事,但是数量之大和突然增加令人担忧。 在这一点上,除了使用强大的用户名和密码组合并确保CMS和相关插件是最新的之外,管理员没有什么其他可以做的事情。
“如果您仍然在博客上使用'admin'作为用户名,请对其进行更改,并使用强密码;如果您使用的是WP.com,请启用两因素身份验证,当然,请确保您可以日期为最新版本的WordPress,” Mullenweg说。 三年前发布的WordPress 3.0允许用户创建自定义用户名,因此没有理由仍然拥有“ admin”或“ Administrator”密码。
