حمله گسترده به سایت های وردپرسی

حمله گسترده به سایت های وردپرسی و احتمال تولد مخرب ترین botnet دنیای مجازی باعث نگرانی های شدیدی برای مدیران هاستینگ ها شده است.

تحلیلگران امنیتی یک حمله رو به رشد را شناسایی و ردیابی کرده اند که در حال پیش روی و آلوده کردن تعداد بسیار زیادی کامپیوتر در سراسر اینترنت است. این حمله در واقع مشغول تشکیل ارتشی از سرورهایی است که اپلیکیشن وبلاگ نویسی وردپرس را روی خود دارند.

افراد ناشناس پشت این حمله بسیار گسترده تا کنون با به کار بستن بیش از ۹۰۰۰۰ آدرس آی پی، با حملات brute-force از طریق جعل گواهینامه های مدیریتی سیستم های وردپرس، موفق به نفوذهای فراوانی شده اند. تا کنون حداقل سه سرویس دهنده هاست بزرگ این موضوع را تایید کرده اند. یک شرکت امنیتی هم اخطار داده است که ممکن است مهاجمان در حال ساخت یک botnet با استفاده از کامپیوترهای آلوده باشند.

در این صورت می توان گفت این بات نت، در نوع خود قدرتمند ترین و مخرب ترین بدافزاری است که تا کنون دیده شده است. زیرا کامپیوترهای زامبی مورد استفاده این بات نت در واقع سرورها هستند که پهنای باند ارتباطی آنها به طور معمول ده، صد و حتی هزاران برابر بیشتر از کامپیوترهای خانگی و مشاغل کوچک است که توسط بات نت های معمولی مورد استفاده قرار می گیرند.

متیو پرینس مدیرعامل CloudFlare در وبلاگ این شرکت در خصوص حملات اخیر می نویسد: «این ماشین های بزرگتر می توانند در حملات DDoS باعث خسارات بسیار بیشتری هم شوند. زیرا سرورها اتصالات شبکه بزرگی دارند و قادرند میزان ترافیک بسیار عظیمی را ایجاد و مدیریت کنند.»

البته این نخستین بار نیست که محققان دچار توهم ظهور یک “سوپر بات نت” بالقوه مهیب و ترسناک و وقوع پیامدهای وحشتناک برای اینترنت می شوند. در ماه اکتبر هم آنها از حملات بسیار گسترده DDoS پرده برداشتند که با سرورهای آلوده، شش بانک آمریکا را هدف قرار داده بود و قصد داشت آنها را غرق کند. حملاتی که قدرت آنها بالاتر از میانگین ترافیک اینترنت پیش بینی می شد.

بات نت تازه ای که برخی سرورهای آلوده طی حملات جدید اجرا کرده اند، اکنون با نام Brobot یا itsoknoproblembro شناخته می شود. اگر بات نت های معمول مورد استفاده در حملات DDoS را شبکه ای معادل ده ها هزار شلنگ باغبانی بدانیم که روی هدف نشانه روی شده اند، ماشین های Brobot مانند صدها شلنگ آتش نشانی هستند که بر روی یک هدف متمرکز گشته اند. علی رغم تعداد کمتر، با این حال آنها قادرند آسیب های بیشتری وارد کنند، زیرا ظرفیت بالاتری دارند.

شواهدی وجود دارد که برخی از سایت های وردپرسی به خدمت گرفته شده و آلوده پیش از این در یک نمایش کوچکتر مورد استفاده قرار گرفته اند. در یک پست وبلاگی منتشر شده از سوی سرویس هاست ResellerClub در روز جمعه گفته شده سیستم هایی از شرکت که پلتفرم وردپرس را اجرا می کردند تحت حمله توزیع شده عمومی بسیار شدیدی قرار داشته اند.

این مطلب می گوید: «به عنوان یک تاریخچه کوتاه می توان گفت ما به تازگی از سوی آژانس حقوقی مان از یک حمله سنگین به برخی موسسات مالی آمریکایی مطلع شدیم که از طریق سرورهای ما مدیریت شده بود. به بررسی دقیق جزئیات الگوی حمله پرداختیم و متوجه شدیم اغلب این حملات از طریق سیستم های مدیریت محتوا و بیش از همه وردپرس انجام شده اند. بررسی های بیشتر آشکار کرد که اکانت های ادمین سرقت شده و اسکریپت های آلوده درون فولدرها آپلود شده اند.»

این مطلب چنین ادامه می یابد: «امروز این حمله دوباره در سطح جهانی تکرار شد و هدف آن بیش از همه هاست های میزبان وردپرس بودند. از آنجایی که این حمله ماهیت بسیار گسترده ای دارد (تقریبا تمام آی پی های مورد استفاده تقلبی و سرقتی هستند) برای ما بسیار سخت است که تمامی داده های آلوده و خطرناک را مسدود کنیم.»

بنابر گفته پرینس از کلودفلر، این حملات گسترده سعی دارند که با brute force (توسط به زور) به پرتال های مدیریتی سرورهای وردپرسی نفوذ کنند. شیوه کار هم این است که نام کاربری admin را به همراه بیش از ۱۰۰۰ رمزعبور معمول (یا حتی بیشتر) مورد آزمون قرار می دهند. وی می گوید که این حملات از سوی ده ها هزار آی پی منحصر به فرد صورت می گیرد که برآورد می شود حمله صورت گرفته توسط ۹۰ هزار آی پی به ماشین های وردپرسی HostGator تنها بخش کوچکی از آن بوده است.

در حال حاضر پیشنهاد اکید شرکت های امنیتی این است که وارد اکانت های وردپرس خودتان شوید و رمزعبورتان را تغییر دهید. سعی کنید رمزعبور جدید هم تا حد ممکن سخت بوده ونکات امنیتی مورد اشاره بخش پشتیبانی وردپرس در آن رعایت شده باشند. همان طور که بارها تکرار کرده ایم، حداقل نیازهای یک رمزعبور امن، استفاده از حروف کوچک و بزرگ، حداقل طول ۸ کاراکتری و استفاده از کاراکترهای خاص (^%$#@*) به همراه اعداد هستند. 

البته کاربران و مدیران سایت های وردپرسی بهتر است هر چه زودتر پلاگین و افزونه های امنیتی همچون Limit Login Attempts و Better WP Security را هم روی سایت های شان نصب کنند. این افزونه ها با بستن برخی حفره های امنیتی جلوی چنین حملاتی را خواهند گرفت. علاوه بر این، شما می توانید با ثبت نام و استفاده از سرویس رایگان CloudFlare به صورت خودکار هر گونه تلاش برای ورود غیرمجاز (مانند حملاتbrute-force) را مسدود کنید.

گفته می شود شیوه کنونی حمله به صورتی است که روی سایت وردپرسی آلوده شده یک backdoor هم تعبیه می گردد. در این حالت، حتی در صورت تعویض رمزعبور و نام کاربری توسط صاحبان سایت و اصلاح اطلاعات ورود به سایت، باز هم دسترسی مهاجمان به سایت و انجام تغییرات روی آن امکان پذیر خواهد بود.

پیشنهاد می کنیم که علاوه بر رعایت نکات گفته شده در این مطلب، مقالات مرتبط با امنیت وردپرس را که در ادامه می آید، حتما مطالعه کرده و با رعایت آنها، خود را از شر این حملات در امان نگه دارید. با این کار علاوه بر اینکه وب سایت و سرور خود را امن نگاه داشته اید، جلوی تبدیل آن به یک کامپیوتر زامبی و یک خطر بالقوه برای دیگران در محیط اینترنت را هم گرفته اید.