сентября 6

Атака на сайты Joomla и WordPress

В начале августа, на новостных сайтах, начала появляться информация от российских хостинг провайдеров о распределенной брутфорс атаке. Суть атаки заключается в подборе пароля к административной части сайта с помощью перебора, после чего сайт заражается вирусом, который начинает подбор паролей к другим сайтам. Атаке были подвержены две наиболее популярные CMS - это Joomla и WordPress. 

Не дожидаясь, когда атака дойдет до Украины мы начали разрабатывать систему, которая бы обезопасила сайты, расположенные на нашем хостинге. Вместо страницы авторизации для входа в административную панель сайта посетителю выводится страница с просьбой произвести сложение двух чисел, для человека данная задача довольно проста, а для робота она не решаема, так как робот ожидает увидеть форму для ввода логина и пароля, а не математическую задачу. Если пользователь решил задачу, то программа дает доступ к защищенному разделу сайта. Сложность задачи была связана с тем, что необходимо было создать защиту, которая не требовала добавления или изменения исходного кода защищаемого сайта, обрабатывалась отдельным сервером и при этом, посетитель оставался по тому же URL адресу, на который он зашел.

Начиная с 5 сентября атаке подверглись сайты, расположенные на наших хостинг серверах, спустя некоторое время мы запустили бета версию системы, которая не была на 100% готова, но тем не менее позволяла приостановить атаку. После старта системы появилось множество проблем - связанных с обработкой большого количества запросов, а так же возможностью управлять системой защиты пользователями. После некоторых доработок система начала работать быстро и стабильно. Были дописаны скрипты, которые блокируют IP адреса, с которых производися атака, а так же предоставлена возможность пользователям отключать защиту и добавлять любой адрес страницы или раздел сайта:

На вкладке "Отчет" можно ознакомиться с полным списком запросов, которые поступили на сайт, а так же получить информацию по IP адресам с которых получен правильный ответ на вопрос.

В ближайшее время данная система будет доработана и позволит выбирать методы авторизации при защите сайта: посредством решения несложной математической задачи (как это реализовано сейчас), вводя капчу или при помощи генератора одноразовых паролей (eToken, Google Authenticator). 

Рекомендуем использовать данную функцию всем владельцам сайтов, у которых CMS не поддерживает двухэтапную авторизацию, а так же может иметь уязвимости в административных модулях. Нет разницы, какую CMS использует Ваш сайт, достаточно в панели управления для сайта указать какие разделы сайта необходимо защищать.

Система ежедневно фиксирует более 5 млн запросов с попыткой перейти в административную часть сайта.

 

Я всегда говорил что Wordpress и Joomla — это попса. Ну а хостинг Украина — это феномен, вы редкостные молодцы!
Написал hands 14.09.2013 в 19:02
Модули к этим CMS создают больше дыр, чем сама Joomla или WP. Но вся негативная слава распространяется на саму систему управления.
Написал rudenko 14.09.2013 в 19:13
Согласен с Вами. Кроме того, они ещё могут нарушать стабильность работы и скорость. Не все разработчики сторонних расширений ответственно подходят к вопросам безопасности, совместимости и скорости.
Написал Aleksej 14.09.2013 в 19:19
Поддерживаю комментарий во второй его части!
Молодцы, Хостинг-Украина! Спасибо за оперативность!
Написал Sitael 23.09.2013 в 15:53
Уже очень давно использую компонент, который меняет стандартный путь к административной части сайта Joomla, предотвращает подбор пароля после 3-х неудачных попыток (добавляет капч), даёт доступ только по определенным IP и только для определённо пользователя. А при 5 неправильных попытках ввода блокирует IP. На данный момент проблем или не замечал или их не было.
Согласен, Хостинг Украина качественно подходит к предоставлению своих услуг.
Написал Aleksej 14.09.2013 в 19:17
Напишите как называется компонент, возможно и другим пользователям пригодится.
Написал rudenko 14.09.2013 в 19:19
jSecure Authentication. Можно ещё RSFirewall. Но на сайте расширений Joomla есть достаточно широкий выбор средств защиты как доступа к административной части так CMS в целом. Плюс, общие рекомендации по безопасности и можно сократить риски несанкционированного вмешательства.
Написал Aleksej 14.09.2013 в 19:25
Для Wordpress использую Login LockDown, но он уже как 4 года не обновляется
Написал kievnoc 15.09.2013 в 12:21
OSE Firewall неплох для Wordpress
Написал kievnoc 15.09.2013 в 12:38
В тексте:

"На данный момент система каждый фиксирует более 5 млн запросов в сутки с попыткой перейти в административную часть сайта."

Я думаю, что пропущено слово "день".
И по идее так:

"На данный момент система каждый день фиксирует более 5 млн запросов в сутки с попыткой перейти в административную часть сайта."
Написал toxi 15.09.2013 в 14:08
Спасибо, исправил.
Написал rudenko 15.09.2013 в 23:05
А ещё у них ВПС в 3 раза шустрей чем у остальных.
Знают что делают.
Браво.
Написал darxNet 16.09.2013 в 01:32
При этом жаль, что на ВПС нет анитивируса и такой же удобной панели как на шаринге (
Написал gensokol 17.09.2013 в 20:30
а как же банальный htaccess с выделенным диапазоном адресов?
Написал rees-111 16.09.2013 в 12:11
Не у всех есть статические адреса + время/умение/желание настраивать .htaccess
В идеальном мире даже атаки такой не существовало бы так как все всегда вовремя обновляли бы свои движки, ограничивали бы доступ через .htaccess, ставили нужные модули. :)
Написал rudenko 16.09.2013 в 15:25
К сожалению)
Написал rees-111 16.09.2013 в 17:23
Согласен.
Я бы на своих проектах настроил бы ограничение по IP, но объяснять каждому клиенту, что для доступа в админку нужен выделенный IP, не слишком понравится заказчикам. Да и неизвестно, сколько людей будет "администрировать" проект, с каких устройств и с каких мест будут подключаться.
Если самому управлять всеми проектами - то да, можно себе приобрести выделенный IP и всех остальных фтопку. Но далеко не уедешь, если проектов много и заданий много.
Как будет внедрена повсеместно IPv6 и каждый юзер сможет иметь статический IP на любом устройстве и находясь в любом месте, не завися от прокси, NAT, тогда можно будет подумать о блокировке доступа по IP.
Написал toxi 17.09.2013 в 12:24
Якийсь не ідеальний у вас ідеальний світ, якщо в ньому всі б налаштовували вчасно, може б в ідеальному ніхто просто не створював атак і поважав чужу власність? Але чи в такому світі розвивалися технології захисту, на випадок народження не ідельної думки чи людини?)
Написал Grim_Reaper 07.10.2013 в 18:15
Дополнительний пароль на папку администратор через .htaccess и нет проблем
Написал realityspy 18.09.2013 в 01:04
спасибо за беспокойство о наших джумло-сайтах!)
Написал maksym.korolyov 24.09.2013 в 18:03
Делаем сайты на Joomla, много раз сталкивались с проблемами взлома и т.д., перебрали уже не мало хостеров и ещё раз убедились - Хостинг Украина лучшие на сегодняшний день!
Написал info258 29.10.2013 в 10:52