вересня 6

Атака на сайти Joomla та WordPress

На початку серпня, на новинних сайтах, почала з'являтися інформація від російських хостинг провайдерів про розподіленої брутфорс атаці. Суть атаки полягає в підборі пароля до адміністративної частини сайту за допомогою перебору, після чого сайт заражається вірусом, який починає підбір паролів до інших сайтів. Атаці були піддані дві найбільш популярні CMS - це Joomla та WordPress.

Не чекаючи, коли атака дійде до України ми почали розробляти систему, яка б убезпечила сайти, розташовані на нашому хостингу. Замість сторінки авторизації для входу в адміністративну панель сайту відвідувачу виводиться сторінка з проханням провести складання двох чисел, для людини дана задача досить проста, а для робота вона не вирішується, так як робот очікує побачити форму для введення логіна і пароля, а не математичну задачу. Якщо користувач вирішив задачу, то програма дає доступ до захищеного розділу сайту. Складність завдання була пов'язана з тим, що необхідно було створити захист, яка не вимагала додавання або зміни вихідного коду захищається сайту, оброблялася окремим сервером і при цьому, відвідувач залишався за тим же URL адресою, на який він зайшов.

Починаючи з 5 вересня атаці піддалися сайти, розташовані на наших хостинг серверах, через деякий час ми запустили бета версію системи, яка не була на 100% готова, але тим не менш дозволяла призупинити атаку. Після старту системи з'явилося безліч проблем - пов'язаних з обробкою великої кількості запитів, а також можливістю управляти системою захисту користувачами. Після деяких доопрацювань система почала працювати швидко і стабільно. Були дописані скрипти, які блокують IP адреси, з яких виробляють атака, а так само надана можливість користувачам відключати захист і додавати будь-яку адресу сторінки або розділ сайту:

На вкладці "Звіт" можна ознайомитися з повним списком запитів, які надійшли на сайт, а також отримати інформацію по IP адресам з яких отримано правильну відповідь на запитання.

Найближчим часом дана система буде доопрацьована і дозволить вибирати методи авторизації при захисті сайту: за допомогою вирішення нескладної математичної задачі (як це реалізовано зараз), вводячи капчу або за допомогою генератора одноразових паролів (eToken, Google Authenticator).

Рекомендуємо використовувати цю функцію всім власникам сайтів, у яких CMS не підтримує двоетапну авторизацію, а так само може мати уразливості в адміністративних модулях. Немає різниці, яку CMS використовує Ваш сайт, достатньо в панелі управління для сайту вказати які розділи сайту необхідно захищати.

Система щодня фіксує більш 5 млн запитів зі спробою перейти в адміністративну частину сайту.

 

Коментарі

hands
Я всегда говорил что Wordpress и Joomla — это попса. Ну а хостинг Украина — это феномен, вы редкостные молодцы!
rudenko
Модули к этим CMS создают больше дыр, чем сама Joomla или WP. Но вся негативная слава распространяется на саму систему управления.
Aleksej
Согласен с Вами. Кроме того, они ещё могут нарушать стабильность работы и скорость. Не все разработчики сторонних расширений ответственно подходят к вопросам безопасности, совместимости и скорости.
Sitael
Поддерживаю комментарий во второй его части!
Молодцы, Хостинг-Украина! Спасибо за оперативность!
Aleksej
Уже очень давно использую компонент, который меняет стандартный путь к административной части сайта Joomla, предотвращает подбор пароля после 3-х неудачных попыток (добавляет капч), даёт доступ только по определенным IP и только для определённо пользователя. А при 5 неправильных попытках ввода блокирует IP. На данный момент проблем или не замечал или их не было.
Согласен, Хостинг Украина качественно подходит к предоставлению своих услуг.
rudenko
Напишите как называется компонент, возможно и другим пользователям пригодится.
Aleksej
jSecure Authentication. Можно ещё RSFirewall. Но на сайте расширений Joomla есть достаточно широкий выбор средств защиты как доступа к административной части так CMS в целом. Плюс, общие рекомендации по безопасности и можно сократить риски несанкционированного вмешательства.
kievnoc
Для Wordpress использую Login LockDown, но он уже как 4 года не обновляется
kievnoc
OSE Firewall неплох для Wordpress
toxi
В тексте:

"На данный момент система каждый фиксирует более 5 млн запросов в сутки с попыткой перейти в административную часть сайта."

Я думаю, что пропущено слово "день".
И по идее так:

"На данный момент система каждый день фиксирует более 5 млн запросов в сутки с попыткой перейти в административную часть сайта."
rudenko
Спасибо, исправил.
darxNet
А ещё у них ВПС в 3 раза шустрей чем у остальных.
Знают что делают.
Браво.
gensokol
При этом жаль, что на ВПС нет анитивируса и такой же удобной панели как на шаринге (
rees-111
а как же банальный htaccess с выделенным диапазоном адресов?
rudenko
Не у всех есть статические адреса + время/умение/желание настраивать .htaccess
В идеальном мире даже атаки такой не существовало бы так как все всегда вовремя обновляли бы свои движки, ограничивали бы доступ через .htaccess, ставили нужные модули. :)
rees-111
К сожалению)
toxi
Согласен.
Я бы на своих проектах настроил бы ограничение по IP, но объяснять каждому клиенту, что для доступа в админку нужен выделенный IP, не слишком понравится заказчикам. Да и неизвестно, сколько людей будет "администрировать" проект, с каких устройств и с каких мест будут подключаться.
Если самому управлять всеми проектами - то да, можно себе приобрести выделенный IP и всех остальных фтопку. Но далеко не уедешь, если проектов много и заданий много.
Как будет внедрена повсеместно IPv6 и каждый юзер сможет иметь статический IP на любом устройстве и находясь в любом месте, не завися от прокси, NAT, тогда можно будет подумать о блокировке доступа по IP.
Grim_Reaper
Якийсь не ідеальний у вас ідеальний світ, якщо в ньому всі б налаштовували вчасно, може б в ідеальному ніхто просто не створював атак і поважав чужу власність? Але чи в такому світі розвивалися технології захисту, на випадок народження не ідельної думки чи людини?)
realityspy
Дополнительний пароль на папку администратор через .htaccess и нет проблем
maksym.korolyov
спасибо за беспокойство о наших джумло-сайтах!)
info258
Делаем сайты на Joomla, много раз сталкивались с проблемами взлома и т.д., перебрали уже не мало хостеров и ещё раз убедились - Хостинг Украина лучшие на сегодняшний день!