вересня 6
|
Атака на сайти Joomla та WordPress |
На початку серпня, на новинних сайтах, почала з'являтися інформація від російських хостинг провайдерів про розподіленої брутфорс атаці. Суть атаки полягає в підборі пароля до адміністративної частини сайту за допомогою перебору, після чого сайт заражається вірусом, який починає підбір паролів до інших сайтів. Атаці були піддані дві найбільш популярні CMS - це Joomla та WordPress.
Не чекаючи, коли атака дійде до України ми почали розробляти систему, яка б убезпечила сайти, розташовані на нашому хостингу. Замість сторінки авторизації для входу в адміністративну панель сайту відвідувачу виводиться сторінка з проханням провести складання двох чисел, для людини дана задача досить проста, а для робота вона не вирішується, так як робот очікує побачити форму для введення логіна і пароля, а не математичну задачу. Якщо користувач вирішив задачу, то програма дає доступ до захищеного розділу сайту. Складність завдання була пов'язана з тим, що необхідно було створити захист, яка не вимагала додавання або зміни вихідного коду захищається сайту, оброблялася окремим сервером і при цьому, відвідувач залишався за тим же URL адресою, на який він зайшов.
Починаючи з 5 вересня атаці піддалися сайти, розташовані на наших хостинг серверах, через деякий час ми запустили бета версію системи, яка не була на 100% готова, але тим не менш дозволяла призупинити атаку. Після старту системи з'явилося безліч проблем - пов'язаних з обробкою великої кількості запитів, а також можливістю управляти системою захисту користувачами. Після деяких доопрацювань система почала працювати швидко і стабільно. Були дописані скрипти, які блокують IP адреси, з яких виробляють атака, а так само надана можливість користувачам відключати захист і додавати будь-яку адресу сторінки або розділ сайту:
На вкладці "Звіт" можна ознайомитися з повним списком запитів, які надійшли на сайт, а також отримати інформацію по IP адресам з яких отримано правильну відповідь на запитання.
Найближчим часом дана система буде доопрацьована і дозволить вибирати методи авторизації при захисті сайту: за допомогою вирішення нескладної математичної задачі (як це реалізовано зараз), вводячи капчу або за допомогою генератора одноразових паролів (eToken, Google Authenticator).
Рекомендуємо використовувати цю функцію всім власникам сайтів, у яких CMS не підтримує двоетапну авторизацію, а так само може мати уразливості в адміністративних модулях. Немає різниці, яку CMS використовує Ваш сайт, достатньо в панелі управління для сайту вказати які розділи сайту необхідно захищати.
Система щодня фіксує більш 5 млн запитів зі спробою перейти в адміністративну частину сайту.
Коментарі
Молодцы, Хостинг-Украина! Спасибо за оперативность!
Согласен, Хостинг Украина качественно подходит к предоставлению своих услуг.
"На данный момент система каждый фиксирует более 5 млн запросов в сутки с попыткой перейти в административную часть сайта."
Я думаю, что пропущено слово "день".
И по идее так:
"На данный момент система каждый день фиксирует более 5 млн запросов в сутки с попыткой перейти в административную часть сайта."
Знают что делают.
Браво.
В идеальном мире даже атаки такой не существовало бы так как все всегда вовремя обновляли бы свои движки, ограничивали бы доступ через .htaccess, ставили нужные модули. :)
Я бы на своих проектах настроил бы ограничение по IP, но объяснять каждому клиенту, что для доступа в админку нужен выделенный IP, не слишком понравится заказчикам. Да и неизвестно, сколько людей будет "администрировать" проект, с каких устройств и с каких мест будут подключаться.
Если самому управлять всеми проектами - то да, можно себе приобрести выделенный IP и всех остальных фтопку. Но далеко не уедешь, если проектов много и заданий много.
Как будет внедрена повсеместно IPv6 и каждый юзер сможет иметь статический IP на любом устройстве и находясь в любом месте, не завися от прокси, NAT, тогда можно будет подумать о блокировке доступа по IP.