Obsežen napad na namestitve WordPressa

Na internetu te dni poteka obsežen napad na vse namestitve WordPressa na različnih strežnikih, v katerem napadalci poizkušajo pridobiti dostop do strežnikov prek WordPressa. Ciljajo s približno 90.000 IP-naslovov, napadajo pa tri- do petkrat več strežnikov kot običajno (vsak dan se seveda kdo poizkusi nepooblaščeno kam povezati, sedaj pa je teh napadov več kot 100.000 dnevno). Zanimivo je, da napadalci uporabljajo sorazmerno primitivno tehniko, saj s surovo silo (brute force) poizkušajo uganiti skrbniško uporabniško ime in geslo, za kar uporabljajo sezname najbolj pogostih.

Zaščita pred napadom je zelo enostavna, saj napadalci preverjajo le najpogostejša uporabniška imena in gesla. Kdor si uporabniško ime spremeni, tako da se to ne glasi več admin, root ali kaj podobnega, se je temu konkretnemu napadu že izognil. Pomaga tudi uporaba primernega gesla, tako da se slovarski napadi izjalovijo, priporočljiva pa je tudi nastavitev omejitve števila neuspelih poizkusov prijave (kar sicer ni nujno uspešno, ker imajo napadalci ogromno IP naslovov). Tudi WordPress svetuje spremembo uporabniškega imena in gesla ter uporabo dvostopenjske prijave, kar skupaj s posodobljeno verzijo WordPressa odžene veliko večino napadov.

Vprašanje je, kaj napadalci pravzaprav hočejo. Špekulacij je več, zanesljivih informacij pa seveda ni. Trenutno napadi izvirajo iz srednje velikega botneta domačih računalnikov. Nekateri predvidevajo, da se napadalci pravzaprav ne zanimajo za WordPress, ampak želijo le dostop do strežnika. Potem nanj namreč namestijo stranska vrata, ki jim v prihodnosti omogočajo hiter in enostaven dostop. Možno je, da napadalci tako gradijo največji botnet doslej, ki bi imel za sestavne člane strežnike in ne domačih računalnikov, kar bi mu zaradi bistveno večje pasovne širine na strežnikih dalo precejšnjo moč. Nadaljnji napadi se seveda ne zgodijo takoj, ampak se napadalci najprej za toliko časa pritajijo, da se dnevniške datoteke prepišejo.