اخطار حمله لغت نامه ای به سایت های وردپرس!
به گزارش شمال صنعت به تازگی طی تحقیقات جدید منتشره توسط شركت امنیت وردپرس، كشف شد كه مهاجمان، بیشتر از ۲۰ هزار سایت وردپرس را در یك بات نت بكار گرفته اند كه می تواند دستوراتی را برای جست وجوی فراگیر ورودهای سایت های وردپرس در اینترنت صادر كند.
به گزارش شمال صنعت به نقل از ایسنا، وردپرس به زبان ساده یك سیستم سایت ساز و پكیج راه انداز وب سایت و وبلاگ (از هر نوع و هر مدل است) كه به صورت مجانی كاربران می توانند آنرا با استفاده از وب سایت رسمی وردپرس (فارسی یا انگلیسی) دانلود كرده و برروی فضای اینترنتی خود نصب كنند. سپس وب سایت خویش را به صورت كامل با جزئیات و امكانات متفاوت و طرح دلخواه برروی آن راه اندازی كرده و مطالب و بخش های مختلف سایت را خودشان مدیریت كنند.
اما به صورت كلی وردپرس یك نرم افزار تحت وب متن باز (open source) است كه در دسته سیستم های مدیریت محتوا یا همان CMS ها كه مخفف (Content Management System) هستند، قرار می گیرد. از آنجاكه سیستم وردپرس مجانی است، هر كاربری می تواند فایل های مربوطه آنرا دانلود كرده و مورد استفاده قرار دهد. البته بدیهی است كه وردپرس بخشی از نیازهای كاربران را برآورده می كند اما برای شخصی سازی و برآورده ساختن سایر نیازها، به متخصصانی نیاز است كه تغییرات لازم را بوجود آورده و یا سایر امكانات و ابزار مورد نیاز كاربران را فراهم نمایند.
شركت امنیت وردپرس (Defiant) اعلام نموده است كه ماژول "Wordfence" این شركت (یك سیستم دیوار آتش در برای حملات جست وجوی فراگیر برای سایت های وردپرس) در ماه گذشته، بیشتر از پنج میلیون تلاش ورود از سایت های آلوده به دیگر پورتال های وردپرس را شناسایی كرده است.
كارشناسان امنیتی این حملات را حملات «لغت نامه ای» می نامند. این حملات، پیاده سازی "XML-RPC" وردپرس را به منظور جست وجوی فراگیر تركیب نام كاربری و پسورد ی كاربر، تا زمانی كه یك حساب معتبر كشف شود، هدف قرار می دهند.
"XML-RPC" یك نقطه ی پایانی است كه كاربران خارجی می توانند از طریق دور، مطالب را با استفاده از وردپرس یا سایر API ها به یك سایت وردپرس ارسال نمایند. این نقطه ی پایانی در دایركتوری ریشه ی وردپرس در فایل "xmlrpc.php" واقع شده است.
مشكل «XML-RPC» این است كه در اجرای پیش فرض خود، محدودیتی بر تعداد درخواست های رابط كاربری كه به سمت آن فرستاده می شود، اعمال نمی كند؛ بنابراین، یك هكر می تواند در طول روز تلاش كند تا با تركیب های مختلف از نام كاربری و رمزعبور، وارد وب سایت شود. هیچ كس هشداری دریافت نخواهد كرد، مگر اینكه ثبت ها به صورت دستی، بررسی شوند.
این حمله توسط یك عامل تهدید و با استفاده از چهار سرور فرمان و كنترل (C۲) انجام می گردد. این سرورها، دستورالعمل های حمله را با استفاده از شبكه ای با بیشتر از ۱۴ هزار سرور پروكسی اجاره شده از سرویس "best-proxies [.] ru" ارسال می كنند و سپس این اطلاعات را به اسكریپت های مخرب بر روی سایت های وردپرس آلوده منتقل می كند.
روش حمله به سایت های وردپرس
این اسكریپت ها فهرستی از اهدافی را كه از سرور فرمان و كنترل دریافت می كنند، می خوانند، سپس فهرستی از پسورد ها را بر مبنای یك فهرست از پیش تعریف شده از الگوهای رمزنگاری جمع آوری می كنند و درنهایت تلاش می كنند تا از پسورد ی جدید ایجادشده برای ورود به حساب كاربری سایت دیگر استفاده كنند.
اگر اسكریپت تلاش كند تا بعنوان كاربری با نام "alice" به سایت example.com وارد شود، پسورد هایی مانند "alice۱"، "alice۲۰۱۸" و غیره را تولید خواهد نمود. امكان دارد این روش در یك سایت داده شده مؤثر واقع نشود، اما درصورت استفاده در تعداد زیادی از اهداف، می تواند موفقیت آمیز باشد.
بر مبنای اطلاعات سایت مركز ماهر، از آنجاكه مهاجمان از شبكه ای از پروكسی ها برای مخفی كردن محل سرورهای فرمان و كنترل خود استفاده می نمایند، محققان نمی توانند تمامی فعالیت های این بات نت را پیگیری كنند، اما با بررسی سایت های آلوده، Defiant توانست اسكریپت های جست وجوی فراگیر مورد استفاده را پیدا كند. این اسكریپت ها، ورودی "POST" را از سرورهای C۲ دریافت می كنند. این ورودی، دامنه های هدف و كلمه های مورد نیاز هنگام حملات جست وجوی فراگیر را به اسكریپت اعلام می كند.
هنگام بررسی بیش تر این اسكریپت، آنها متوجه شدند درصورتی كه اسكریپت از سایت آلوده حذف شود، یك آدرس URL را برای بازیابی فهرست كلمات دریافت می كند. بدین ترتیب محققان توانستند آدرس IP یكی از سرورهای C۲ را دریافت نمایند. بعد از دسترسی به سرور C۲، آنها توانستند به دستورات مختلف صادرشده از این سرور و تعدادی از سایت هایی كه بخشی از بات نت بودند، دسترسی پیدا كنند.
شركت امنیت وردپرس در تلاش است تا كاربران آلوده را از این حملات آگاه كند و این بات نت را از بین ببرد. از این رو، به صاحبان سایت های وردپرس سفارش می كند تا با نصب افزونه ی امنیتی وردپرس با نام "WordFence Defiant"، از سایت وردپرس خود در مقابل حملات جست وجوی فراگیر و لغت نامه ای محافظت كنند. این افزونه، میزان تلاش ورود ناموفق را كه مهاجم می تواند پیش از خروج از سیستم انجام دهد، محدود می كند.
این مطلب را می پسندید؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب