Защитная компания CloudFlare сообщила об атаке против «большого количества блогов по всему интернету». Боты пытаются авторизоваться в административной панели каждого блога WordPress.

Боты заходят на страницы /wp-login.php и /wp-admin, используя имя пользователя admin и перебирая различные варианты паролей. Доступ к каждой панели осуществляется с тысяч разных IP-адресов, чтобы затруднить блокировку.

По предварительным оценкам, в атаке участвует около 90 тыс. ботов.

По информации некоторых специалистов, такой брутфорс они наблюдают уже очень давно в «фоновом режиме». Впрочем, в апреле явно заметно увеличение активности злоумышленников.

2012/Dec: 678,519 попыток доступа заблокировано
2013/Jan: 1,252,308 попыток доступа заблокировано (40 тыс. в сутки)
2013/Feb: 1,034,323 попыток доступа заблокировано (36 тыс. в сутки)
2013/Mar: 950,389 попыток доступа заблокировано (31 тыс. в сутки)
2013/Apr: 774,104 в первые 10 дней – 77 410 в сутки

В качестве имени пользователя боты используют не только admin. В логе указано количество сайтов, против которых использован тот или иной логин.

652,911 [log] => admin
10173 [log] => test
8992 [log] => administrator
8921 [log] => Admin
2495 [log] => root

Инструкции по установке защитных модулей против брутфорса см. здесь.

Список используемых ботами паролей даёт пищу для размышлений, потому что там встречаются некие странные пароли.

16,798 [pwd] => admin
10,880 [pwd] => 123456
9,727 [pwd] => 666666
9,106 [pwd] => 111111
7,882 [pwd] => 12345678
7,717 [pwd] => qwerty
7,295 [pwd] => 1234567
6,160 [pwd] => #@F#GBH$R^JNEBSRVWRVW
5,640 [pwd] => password
5,446 [pwd] => 12345
5,392 [pwd] => $#GBERBSTGBR%GSERHBSR
5,058 [pwd] => %G#GBAEGBW%HBFGBFXGB
5,024 [pwd] => RGA%BT%HBSERGAEEAHAEH
4,861 [pwd] => aethAEHBAEGBAEGEE%
4,317 [pwd] => 123
4,281 [pwd] => 123qwe
4,133 [pwd] => 123admin
4,092 [pwd] => 12345qwe
4,086 [pwd] => 12369874
3,880 [pwd] => 123123
3,831 [pwd] => 1234qwer
3,814 [pwd] => 1234abcd
3,787 [pwd] => 123654
3,751 [pwd] => 123qwe123qwe
3,744 [pwd] => 123abc
3,623 [pwd] => 123qweasd
3,606 [pwd] => 123abc123
3,422 [pwd] => 12345qwert

В конце концов, вот список наиболее часто встречающихся в логах IP-адресов, с которых осуществляется брутфорс.

#количество попыток – IP-адрес
41315 31.184.238.38
10004 178.151.216.53
9817 91.224.160.143
8773 195.128.126.6
6838 85.114.133.118
6624 177.125.184.8
5896 89.233.216.203
5534 89.233.216.209
5469 109.230.246.37
5364 188.175.122.21
5110 46.119.127.1
4485 176.57.216.198
4205 173.38.155.22
4114 67.229.59.202
3956 94.242.237.101
3460 209.73.151.64
3443 212.175.14.114
3294 78.154.105.23
3162 50.116.27.19
3054 195.128.126.114
2740 78.153.216.56
2732 31.202.217.135
2661 204.93.60.182
2520 173.38.155.8
2371 204.93.60.75
2303 50.117.59.3
2301 209.73.151.229
2287 216.172.147.251
2234 204.93.60.57
2227 94.199.51.7
2215 204.93.60.185

Оставить мнение