Stfw.RuПо данным экспертов из ИБ-компании Sucuri, в наше время брутфорс-атаки на web-сайты, работающие на WordPress, являются привычным явлением. С помощью своих honeypot исследователи ежедневно фиксируют сотни попыток подобрать пароль, осуществляемые ботнетами:
user: admin, pass: admin
user: admin, pass: 123456
user: admin, pass: 123123
user: admin, pass 112233
user: admin, pass: pass123
Эти пароли кажутся маловероятными, однако, перебрав 200-300 паролей по словарю, боты способны проникнуть в большинство сайтов.
Обычно подобные брутфорс-атаки осуществляются через /wp-login.php. Однако они постепенно эволюционируют и теперь при подборе паролей используют метод XMLRPC wp.getUsersBlogs. Причиной смены тактики для злоумышленников стал тот факт, что использование протокола XMLRPC существенно ускоряет процесс подбора. Кроме того, такую атаку сложнее обнаружить.
Осуществления атаки возможно по причине того, что многие запросы к реализации WordPress XMLRPC требуют имя пользователя и пароль. Исследователи зафиксировали использование в атаках wp.getUsersBlogs, wp.getComments и др. В случае предоставления им пароля, они подтверждают его подлинность:
<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>
<string>admin</string></value></param>
<param><value><string>112233</string></value></param></params>
</methodCall>
Примечательно, что помимо пароля, злоумышленники также подбирают имя пользователя. Вместо того, чтобы использовать «admin», они пытаются определить доменное имя, а также настоящее имя администратора.
По данным исследователей, за последние несколько недель количество подобных атак возросло в десятки раз – с 17 тыс. в начале июля до 2 млн. В некоторые дни эксперты из Sucuri фиксировали до 200 тысяч попыток брутфорса.
