WordPress og Joomla! nettsteder utsatt for et globalt masseangrep


brute-force

OnNet og en rekke sikkerhetsselskaper advarer nå mot et stort hackerangrep mot alle nettsteder som benytter WordPress og Joomla! som publiseringsløsning. To av verdens mest populære publiseringsløsninger.

Minst 90.000 IP-adresser deltar i «brute force» angrepet

Minst 90.000 IP-adresser deltar i angrepet melder, The Next Web. Masseangrepet skjer med at de prøver å bryte seg inn på administrasjonsgrensesnittet til nettstedet etter rå makt-metoden, også kalt «brute force».

Et såkalt botnett av kaprede datamaskiner er involvert. Disse forsøker systematisk å gjette seg fram til passord ved å kombinere kjente brukernavn med ordlister. CloudFlare estimerer at dette botnettet har en kapasitet til å teste ut hele 2 milliarder passord per time. 

Angrepet er godt organisert, selv om dette angrepet kommer fra et relativt svakt botnet bestående av kompromitterte hjemme PCer.

Frykten er at hackerne benytter dette botnetet til å bygge opp et mye større og kraftigere botnet med kraftige webservere for å utføre et kraftigere DDoS angrep i fremtiden.

I motsetning til hjemme PCer som er knyttet til Internett via en ADSL, DSL eller lignende linjer, har webservere en lagt større kapasitet (CPU kraft) og bedre linjekapasitet (båndbredde). De kan dermed gjøre langt mer skade i et DDoS angrep enn et botnet bestående av hjemme PCer.

Hva er et «brute-force», «botnet» og «DDos angrep»?

Med botnet menes en gruppe av datamaskiner (også kalt «zombies«) som er blitt smittet av malware for å utføre ulike oppgaver for eieren av botnettet. Botnettet kontrolleres gjennom å sende instruksjoner til nettets zombies fra en eller flere Command & Control (C&C) servere.

Et brute-force angrep vil si en systematisk tipping av alle mulige passord kombinasjoner eller bare de mest populære, til det rette passordet er funnet. Det vanligste er å utføre slike  angrep gjennom et botnet for å unngå å bli blokkert av gjentatte påloggingsforsøk fra den samme IP-adressen.

DDos angrep vil si å sende uendelig mange pakker til en og samme server/IP-adresse gjennom et botnet med det mål å overbelaste servernes kapasitet, slik at serveren og dens tjenester blir utilgjengelige for brukerne.

Klikk her for å lære nærmere om disse begrepene.

Dette er de mest utsatte brukernavnene

Angrepene er særlig rettet mot kontoer med brukernavnene:

  • 652,911 [nettsteder angrepet] => admin
  • 10173 [nettsteder angrepet] => test
  • 8992 [nettsteder angrepet] => administrator
  • 8921 [nettsteder angrepet] => Admin
  • 2495 [nettsteder angrepet] => root

Dette er typisk kontoer med administrative rettigheter. Sørger du for at du ikke bruker disse brukernavnene er du allerede godt beskyttet mot brute-force forsøk, da over 80% av alle angrep er rettet mot disse brukernavnene.

Dette er de mest utsatte passordene

Sucuri logger alle brute-force forsøk. I deres oversikt er disse passordene de mest benyttede (antall blokkerte innlogginger er angitt før [pwd].:

16,798 [pwd] => admin
10,880 [pwd] => 123456
9,727 [pwd] => 666666
9,106 [pwd] => 111111
7,882 [pwd] => 12345678
7,717 [pwd] => qwerty
7,295 [pwd] => 1234567
6,160 [pwd] => #@F#GBH$R^JNEBSRVWRVW
5,640 [pwd] => password
5,446 [pwd] => 12345
5,392 [pwd] => $#GBERBSTGBR%GSERHBSR
5,058 [pwd] => %G#GBAEGBW%HBFGBFXGB
5,024 [pwd] => RGA%BT%HBSERGAEEAHAEH
4,861 [pwd] => aethAEHBAEGBAEGEE%
4,317 [pwd] => 123
4,281 [pwd] => 123qwe
4,133 [pwd] => 123admin
4,092 [pwd] => 12345qwe
4,086 [pwd] => 12369874
3,880 [pwd] => 123123
3,831 [pwd] => 1234qwer
3,814 [pwd] => 1234abcd
3,787 [pwd] => 123654
3,751 [pwd] => 123qwe123qwe
3,744 [pwd] => 123abc
3,623 [pwd] => 123qweasd
3,606 [pwd] => 123abc123
3,422 [pwd] => 12345qwert

Klikk her for en full oversikt over de passordene du må styre unna.

Bytt passord på din WordPress og Joomla! installasjon

Hvis du benytter et av de brukernavnene eller passordene over, må du UMIDDELBART logge deg inn på administrasjonsgrensesnittet og bytte dette passordet.

OnNet anbefaler deg å lese IKTnytt.no sin sikkerhetsguide og følge de rådene og tipsene vi gir her for å sørge for at ditt nettsted og maskin ikke blir kompromittert og hijacket.

Passordbeskytt din wp-login.php fil i .htaccess

Etter at du har sikret ditt nettsted og maskin gjennom de rådene og tipsene i vår sikkerhetsguide, anbefaler OnNet at du samtidig passordbeskytter din wp-login.php fil i .htaccess. Dette gjøres på følgende måte.

Wp-login.php filen er selve innloggingssiden til din WordPress installasjon. Ved å legge inn en ekstra beskyttelse av denne filen i .htaccess filen til ditt nettsted, gjør du det vanskeligere å hacke seg inn på ditt administrasjonsgrensesnitt.

Installer sikkerhets plug-ins til din WordPress installasjon

OnNet anbefaler også alle som har et nettsted utvikling i WordPress til å installere en sikkrhets plug-ins som er spesielt utviklet for å beskytte nettstedet mot hacker forsøk.

For WordPress finnes det flere gode gratis plug-ins som kan anbefales. F.eks. Better WP Security og Bulletproof Security.

En tredobling i antall brute-force angrep mot WordPress og Joomla! nettsteder hittil i år

Sucuri melder om en tredobling av antall brute-force angrep mot WordPress og Joomla! nettsteder hittil i år. I desember 2012 blokkerte de i gjennomsnitt 32.000 daglige påloggingsforsøk. I mars 2013 var andelen økt til 77.000 daglige blokkeringer. I de siste 5 dagene er antall ulovelige påloggingsforsøk økt til over 100.000 daglige pålogginsforsøk.

Top 30 IP-adresser

I Sucuri sin rapport peker følgende 30 IP-adresser seg ut i brute-force angrepene på WordPress nettsteder. Hvis du er Hostmaster for en webserver eller webmaster for ditt nettsted bør du legge inn disse IP-addressene i din brannmur for å redusere sjansene for å bli brute-force hacket.

#antall påloggingsforsøk – IP Adresse
41315 påloggingsforsøk –  31.184.238.38
10004 påloggingsforsøk – 178.151.216.53
9817 påloggingsforsøk – 91.224.160.143
8773 påloggingsforsøk – 195.128.126.6
6838 påloggingsforsøk – 85.114.133.118
6624 påloggingsforsøk – 177.125.184.8
5896 påloggingsforsøk – 89.233.216.203
5534 påloggingsforsøk – 89.233.216.209
5469 påloggingsforsøk – 109.230.246.37
5364 påloggingsforsøk – 188.175.122.21
5110 påloggingsforsøk – 46.119.127.1
4485 påloggingsforsøk – 176.57.216.198
4205 påloggingsforsøk – 173.38.155.22
4114 påloggingsforsøk – 67.229.59.202
3956 påloggingsforsøk – 94.242.237.101
3460 påloggingsforsøk – 209.73.151.64
3443 påloggingsforsøk – 212.175.14.114
3294 påloggingsforsøk – 78.154.105.23
3162 påloggingsforsøk – 50.116.27.19
3054 påloggingsforsøk – 195.128.126.114
2740 påloggingsforsøk – 78.153.216.56
2732 påloggingsforsøk – 31.202.217.135
2661 påloggingsforsøk – 204.93.60.182
2520 påloggingsforsøk – 173.38.155.8
2371 påloggingsforsøk – 204.93.60.75
2303 påloggingsforsøk – 50.117.59.3
2301 påloggingsforsøk – 209.73.151.229
2287 påloggingsforsøk – 216.172.147.251
2234 påloggingsforsøk – 204.93.60.57
2227 påloggingsforsøk – 94.199.51.7
2215 påloggingsforsøk – 204.93.60.185

Hvis nettstedet ditt ligger på en OnNet server trenger du ikke å tenke på å blokkere disse IP-adressene, da de for øyeblikket er blokkert i OnNet sin switch til botnettet er kartlagt og lagt ned.

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: