Хакер #305. Многошаговые SQL-инъекции
Защитная компания CloudFlare сообщила об атаке против «большого количества блогов по всему интернету». Боты пытаются авторизоваться в административной панели каждого блога WordPress.
Боты заходят на страницы /wp-login.php
и /wp-admin
, используя имя пользователя admin
и перебирая различные варианты паролей. Доступ к каждой панели осуществляется с тысяч разных IP-адресов, чтобы затруднить блокировку.
По предварительным оценкам, в атаке участвует около 90 тыс. ботов.
По информации некоторых специалистов, такой брутфорс они наблюдают уже очень давно в «фоновом режиме». Впрочем, в апреле явно заметно увеличение активности злоумышленников.
2012/Dec: 678,519 попыток доступа заблокировано 2013/Jan: 1,252,308 попыток доступа заблокировано (40 тыс. в сутки) 2013/Feb: 1,034,323 попыток доступа заблокировано (36 тыс. в сутки) 2013/Mar: 950,389 попыток доступа заблокировано (31 тыс. в сутки) 2013/Apr: 774,104 в первые 10 дней – 77 410 в сутки
В качестве имени пользователя боты используют не только admin
. В логе указано количество сайтов, против которых использован тот или иной логин.
652,911 [log] => admin 10173 [log] => test 8992 [log] => administrator 8921 [log] => Admin 2495 [log] => root
Инструкции по установке защитных модулей против брутфорса см. здесь.
Список используемых ботами паролей даёт пищу для размышлений, потому что там встречаются некие странные пароли.
16,798 [pwd] => admin 10,880 [pwd] => 123456 9,727 [pwd] => 666666 9,106 [pwd] => 111111 7,882 [pwd] => 12345678 7,717 [pwd] => qwerty 7,295 [pwd] => 1234567 6,160 [pwd] => #@F#GBH$R^JNEBSRVWRVW 5,640 [pwd] => password 5,446 [pwd] => 12345 5,392 [pwd] => $#GBERBSTGBR%GSERHBSR 5,058 [pwd] => %G#GBAEGBW%HBFGBFXGB 5,024 [pwd] => RGA%BT%HBSERGAEEAHAEH 4,861 [pwd] => aethAEHBAEGBAEGEE% 4,317 [pwd] => 123 4,281 [pwd] => 123qwe 4,133 [pwd] => 123admin 4,092 [pwd] => 12345qwe 4,086 [pwd] => 12369874 3,880 [pwd] => 123123 3,831 [pwd] => 1234qwer 3,814 [pwd] => 1234abcd 3,787 [pwd] => 123654 3,751 [pwd] => 123qwe123qwe 3,744 [pwd] => 123abc 3,623 [pwd] => 123qweasd 3,606 [pwd] => 123abc123 3,422 [pwd] => 12345qwert
В конце концов, вот список наиболее часто встречающихся в логах IP-адресов, с которых осуществляется брутфорс.
#количество попыток – IP-адрес 41315 31.184.238.38 10004 178.151.216.53 9817 91.224.160.143 8773 195.128.126.6 6838 85.114.133.118 6624 177.125.184.8 5896 89.233.216.203 5534 89.233.216.209 5469 109.230.246.37 5364 188.175.122.21 5110 46.119.127.1 4485 176.57.216.198 4205 173.38.155.22 4114 67.229.59.202 3956 94.242.237.101 3460 209.73.151.64 3443 212.175.14.114 3294 78.154.105.23 3162 50.116.27.19 3054 195.128.126.114 2740 78.153.216.56 2732 31.202.217.135 2661 204.93.60.182 2520 173.38.155.8 2371 204.93.60.75 2303 50.117.59.3 2301 209.73.151.229 2287 216.172.147.251 2234 204.93.60.57 2227 94.199.51.7 2215 204.93.60.185