Video: Brute Force Exploit # Joomla & WordPress [3spi0n] (Oktober 2024)
Ribuan situs WordPress dan Joomla saat ini sedang diserang oleh password botute brute-forcing yang besar. Administrator perlu memastikan mereka memiliki kata sandi yang kuat dan nama pengguna yang unik untuk instalasi WordPress dan Joomla mereka.
Selama beberapa hari terakhir, para pelaku telah secara signifikan meningkatkan upaya masuk berbasis kamus, brute-force terhadap blog WordPress dan situs Joomla, menurut laporan dari CloudFlare, HostGator, dan beberapa perusahaan lain. Serangan mencari nama akun umum, seperti "admin, " di situs dan secara sistematis mencoba kata sandi umum untuk masuk ke acocunt.
Administrator tidak ingin seseorang yang melanggar akses ke situs mereka, karena penyerang itu dapat merusak situs atau menanamkan kode jahat untuk menginfeksi orang lain dengan malware. Namun, sifat serangan yang terorganisir dan operasi berskala besar menyiratkan tujuan yang lebih jahat. Tampaknya penyerang berusaha untuk mendapatkan pijakan ke server sehingga mereka dapat menemukan cara untuk mengambil alih seluruh mesin. Server web umumnya lebih kuat dan memiliki pipa bandwidth yang lebih besar daripada komputer di rumah, menjadikannya target yang menarik.
"Penyerang menggunakan botnet PC rumah yang relatif lemah untuk membangun botnet server gemuk yang jauh lebih besar dalam persiapan untuk serangan di masa depan, " tulis Matthew Prince, CEO CloudFlare, di blog perusahaan.
Botnet Brobot, yang diyakini para peneliti berada di balik serangan penolakan layanan besar-besaran terhadap lembaga keuangan AS mulai musim gugur lalu, terdiri dari server Web yang dikompromikan. "Mesin yang lebih besar ini dapat menyebabkan lebih banyak kerusakan pada serangan DDoS karena server memiliki koneksi jaringan yang besar dan mampu menghasilkan sejumlah besar lalu lintas, " kata Prince.
Akun Brute-Forcing
Para penyerang menggunakan taktik brute-force untuk membobol akun pengguna untuk situs WordPress dan Joomla. Lima nama pengguna teratas yang ditargetkan adalah "admin, " "test, " "administrator, " "Admin, " dan "root." Dalam serangan brute-force, pelaku secara sistematis mencoba semua kombinasi yang mungkin sampai mereka berhasil masuk ke akun. Lebih mudah untuk menebak dan mencari kata sandi sederhana seperti urutan nomor dan kata-kata kamus, dan botnet mengotomatiskan seluruh proses. Lima kata sandi teratas yang dicoba dalam serangan ini adalah "admin, " "123456, " "111111, " "666666, " dan "12345678."
Jika Anda menggunakan nama pengguna umum atau kata sandi umum, ubah segera menjadi sesuatu yang kurang jelas.
"Lakukan ini dan Anda akan berada di depan 99 persen situs di luar sana dan mungkin tidak pernah punya masalah, " Matt Mullenweg, pencipta WordPress, menulis di blog-nya.
Lonjakan Volume Serangan
Statistik Sucuri menunjukkan serangan meningkat. Perusahaan memblokir 678.519 upaya login pada bulan Desember, diikuti oleh 1.252.308 upaya login pada bulan Januari, 1.034.323 upaya login pada bulan Februari, dan 950.389 upaya pada bulan Maret, Daniel Cid, CTO dari Sucuri, di blog perusahaan. Namun, dalam 10 hari pertama bulan April, Sucuri telah memblokir 774.104 upaya login, kata Cid. Itu lompatan yang signifikan, dari 30 ribu menjadi 40 ribu serangan per hari menjadi sekitar 77.000 per hari rata-rata, dan ada hari-hari di bulan ini di mana serangan melebihi 100.000 per hari, kata Sucuri.
"Dalam kasus-kasus ini, dengan fakta memiliki nama pengguna yang bukan admin / administrator / root, Anda secara otomatis sudah tidak beroperasi, " kata Cid, sebelum menambahkan, "Sebenarnya agak bagus."
Petunjuk Botnet Besar
Volume serangan adalah petunjuk ukuran botnet. HostGator memperkirakan setidaknya 90.000 komputer terlibat dalam serangan ini, dan CloudFlare percaya "lebih dari puluhan ribu alamat IP unik" sedang digunakan.
Botnet terdiri dari komputer yang dikompromikan yang menerima instruksi dari satu atau lebih server perintah-dan-kontrol terpusat, dan menjalankan perintah-perintah itu. Sebagian besar, komputer ini telah terinfeksi dengan beberapa jenis malware dan pengguna bahkan tidak menyadari bahwa penyerang mengendalikan mesin.
Kredensial Yang Kuat, Perangkat Lunak yang Diperbarui
Serangan terhadap sistem manajemen konten yang populer bukanlah hal baru, tetapi volume yang tipis dan peningkatan yang tiba-tiba mengkhawatirkan. Pada titik ini, tidak banyak yang dapat dilakukan administrator selain menggunakan kombinasi nama pengguna dan kata sandi yang kuat dan memastikan CMS dan plugin yang terkait sudah terbaru.
"Jika Anda masih menggunakan 'admin' sebagai nama pengguna di blog Anda, ubahlah, gunakan kata sandi yang kuat, jika Anda menggunakan WP.com, aktifkan otentikasi dua faktor, dan tentu saja pastikan Anda up-to- tanggal pada versi terbaru dari WordPress, "kata Mullenweg. WordPress 3.0, dirilis tiga tahun lalu, memungkinkan pengguna untuk membuat nama pengguna khusus, jadi tidak ada alasan untuk tetap memiliki kata sandi "admin" atau "Administrator".
