Biz görüyoruz medyada büyük bir dağıtılan kaba kuvvet saldırıları hakkında biraz gürültü WordPress siteleri hedef tüm ana karşı. Haberlere göre, onlar WordPress erişim noktaları karşı farklı kullanıcı adları ve şifreleri bisiklet ile oturum çalışırken 90.000 'den fazla sunucuları ile büyük bir botnet görüyoruz: / wp-login.php ve / wp-admin.
Bu bize de onlar bize ne olduğunu görmek için günlükleri bakmak neden saldırıları çok blok, düşünce var.Bu yüzden yaptı.
Veri
Geriye bakıldığında, bizim tarihsel veritabanında aşağıdaki görebilirsiniz:
2012/Dec: 678.519 oturum açma girişimi engelledi2013/Jan: 1.252.308 oturum açma girişimleri (gün başına 40k) bloke2013/Feb: 1.034.323 oturum açma girişimleri (gün başına 36k) bloke2013/Mar: 950.389 oturum açma girişimleri (gün başına 31k) bloke2013/Apr: ilk 10 gün için 774.104 - Günlük ortalama 77.410
Bizim numaralarını gördüğünüz gibi, biz günde 30-40.000 saldırılar son birkaç ay görüyorlardı. Nisan 2013 yılında, son birkaç gün içinde günde 100.000 'den fazla girişimleri ulaşan, günde ortalama 77.000' e yükselmiştir.
Bu kaba kuvvet sayısının üç katından daha fazla çalışır anlamına gelir. Bu artış bu raporları için bazı gerçek var olduğuna inanmak bize yol açacak.
Bizim veri içine derin dalış birkaç ilginç veri noktaları bulmak. Örneğin, çalışılan üst kullanıcı adlarını görebilirsiniz:
652.911 [günlük] => yönetici
10173 [günlük] => Test
8992 [günlük] => Yönetici
8921 [günlük] => Yönetici
2.495 [günlük] => kök
Bu durumlarda, bir yönetici olmayan / yönetici / root kullanıcı adları sahip kesme gerçeği ile dışarı çalışan otomatik olarak bulunmaktadır. Hangi aslında tür güzel taşımaktadır.
Bilginize, [günlük] yanındaki sayı değeri tarama sayısı tamamlanır. Yani ilk kalem, yönetici, bazı 652.911 sitelerine karşı kullanılmıştır.
Kadar şifreler gibi, bu biz görüyoruz budur:
16,798 [pwd] => yönetici
10.880 [pwd] => 123456
9.727 [pwd] => 666666
9.106 [pwd] => 111111
7.882 [pwd] => 12345678
7,717 [pwd] => qwerty
7.295 [pwd] => 1234567
6.160 [pwd] => # @ F # GBH $ R ^ JNEBSRVWRVW
5.640 [pwd] => Şifre
5.446 [pwd] => 12345
5.392 [pwd] => $ # GBERBSTGBR% GSERHBSR
5.058 [pwd] =>% G # GBAEGBW% HBFGBFXGB
5.024 [pwd] => RGA% BT% HBSERGAEEAHAEH
4.861 [pwd] => aethAEHBAEGBAEGEE%
4.317 [pwd] => 123
4.281 [pwd] => 123qwe
4.133 [pwd] => 123admin
4.092 [pwd] => 12345qwe
4.086 [ pwd] => 12369874
3.880 [pwd] => 123123
3.831 [pwd] => 1234qwer
3.814 [pwd] => 1234abcd
3.787 [pwd] => 123654
3.751 [pwd] => 123qwe123qwe
3.744 [pwd] => 123abc
3.623 [pwd ] => 123qweasd
3.606 [pwd] => 123abc123
3.422 [pwd] => 12345qwert
Bunların çoğu aslında, biz bir süre için rapor oldum sadece ne var beklenmelidir.
Ne anlama geliyor bunlar:
6160 [pwd] => # @ F # GBH $ R ^ JNEBSRVWRVW
5392 [pwd] => $ # GBERBSTGBR% GSERHBSR
5058 [pwd] =>% G # GBAEGBW% HBFGBFXGB
5024 [pwd] => RGA% BT% HBSERGAEEAHAEH
4861 [pwd] => aethAEHBAEGBAEGEE%
Biz çok garip geliyor birkaç wordlists genelinde bu bulduk bizim kaynakların bir kısmını baktığımızda. En belirgin argüman iyi, rezil, onlar doğru, sadece rastgele oluşturulan nelerdir? Ama o zaman bunu mantıklı değil nerede var, karşı çalışılmıştır sitelerin sayısı bakmak.
Biz bildikleri bir şey eksik gibi hemen hemen hissediyor .. hummmm .. sonra tekrar düşünme üzerinde olabilir ve biz sadece onlar engellenir memnun olmalıdır.
Top Tarayıcı IP
Burada kendi sunucuları ve ana yönetmek olanlar için biraz daha bilgi. Burada çeşitli saldırılarda kullanılan ilk 30 kötü niyetli IP adresleri şunlardır:
Girişimleri arasında numarası - IP Adresi
41315 31.184.238.38
10004 178.151.216.53
9817 91.224.160.143
8773 195.128.126.6
6838 85.114.133.118
6624 177.125.184.8
5896 89.233.216.203
5534 89.233.216.209
5469 109.230.246.37
5364 188.175.122.21
5110 46.119. 127.1
4485 176.57.216.198
4205 173.38.155.22
4114 67.229.59.202
3956 94.242.237.101
3460 209.73.151.64
3443 212.175.14.114
3294 78.154.105.23
3162 50.116.27.19
3054 195.128.126.114
2.740 78.153.216.56
2.732 31.202.217.135
2.661 204.93.60.182
2.520 173.38.155.8
2.371 204.93.60.75
2.303 50.117.59.3
2.301 209.73.151.229
2.287 216.172.147.251
2.234 204.93.60.57
2.227 94.199.51.7
2.215 204.93.60.185
Eğer söz konusu olabilir mi?
Bağlıdır, bu saldırılara karşı kendinizi korumak için ne hayata geçirdik? Bu saldırılar hakkında anlamak için şey oynamak olduğunu büyük WordPress güvenlik açığı , size, son kullanıcı. İyi şifreler yararlanarak zaman özellikle, sizin yapıyor olması gerekir.
Eğer değilseniz, o zaman evet, biz bu konuda biraz endişe olmak değer olduğunu söyleyebilirim. Yukarıdaki verilerin herhangi bir tanıdık görünüyor özellikle. Bakarak dikkat etmeniz gereken bazı şeyler bizim benzer bir web uygulama güvenlik duvarı (WAF) gibi çözümler içerir CloudProxy ürün veya sitenizde / sunucu kaynaklarını ulaşmadan önce bu saldırıları engellemek için ModSecurity.
Hiç yorum yok:
Yorum Gönder