آگهی حمله لغت نامه ای به سایت های وردپرس!
بست روید: بتازگی طی تحقیقات جدید منتشره توسط شركت امنیت وردپرس، كشف شد كه مهاجمان، بیشتر از ۲۰ هزار سایت وردپرس را در یك بات نت بكار گرفته اند كه می تواند دستوراتی را برای جست وجوی فراگیر ورودهای سایت های وردپرس در اینترنت صادر كند.
به گزارش بست روید به نقل از ایسنا، وردپرس به زبان ساده یك سیستم سایت ساز و پكیج راه انداز وب سایت و وبلاگ (از هر نوع و هر مدل است) كه به صورت بلاعوض كاربران می توانند آنرا از راه وب سایت رسمی وردپرس (فارسی یا انگلیسی) دانلود كرده و برروی فضای اینترنتی خود نصب كنند. سپس وب سایت خودرا به صورت كامل با جزئیات و امكانات متفاوت و طرح دلخواه برروی آن راه اندازی كرده و مطالب و بخش های مختلف سایت را خودشان مدیریت كنند.
اما به صورت كلی وردپرس یك نرم افزار تحت وب متن باز (open source) است كه در دسته سیستم های مدیریت محتوا یا همان CMS ها كه مخفف (Content Management System) هستند، قرار می گیرد. از آنجاكه سیستم وردپرس بلاعوض است، هر كاربری می تواند فایل های مربوطه آنرا دانلود كرده و مورد استفاده قرار دهد. البته بدیهی است كه وردپرس بخشی از نیازهای كاربران را برآورده می كند اما برای شخصی سازی و برآورده ساختن سایر نیازها، به متخصصانی نیاز است كه تغییرات لازم را به وجود آورده و یا سایر امكانات و ابزار مورد نیاز كاربران را فراهم آورند.
شركت امنیت وردپرس (Defiant) اعلام نموده است كه ماژول "Wordfence" این شركت (یك سیستم دیوار آتش در برای حملات جست وجوی فراگیر برای سایت های وردپرس) در ماه گذشته، بیشتر از پنج میلیون تلاش ورود از سایت های آلوده به دیگر پورتال های وردپرس را شناسایی كرده است.
كارشناسان امنیتی این حملات را حملات «لغت نامه ای» می نامند. این حملات، پیاده سازی "XML-RPC" وردپرس را به منظور جست وجوی فراگیر تركیب نام كاربری و پسورد ی كاربر، تا زمانی كه یك حساب معتبر كشف شود، هدف قرار می دهند.
"XML-RPC" یك نقطه ی پایانی است كه كاربران خارجی می توانند از طریق دور، مطالب را از راه وردپرس یا سایر API ها به یك سایت وردپرس ارسال نمایند. این نقطه ی پایانی در دایركتوری ریشه ی وردپرس در فایل "xmlrpc.php" واقع شده است.
مشكل «XML-RPC» این است كه در اجرای پیش فرض خود، محدودیتی بر تعداد درخواست های رابط كاربری كه به سمت آن فرستاده می شود، اعمال نمی كند؛ بنابراین، یك هكر می تواند در طول روز تلاش كند تا با تركیب های مختلف از نام كاربری و رمزعبور، وارد وب سایت شود. هیچ كس هشداری دریافت نخواهد كرد، مگر اینكه ثبت ها به صورت دستی، بررسی شوند.
این حمله توسط یك عامل تهدید و با استفاده از چهار سرور فرمان و كنترل (C۲) انجام میگردد. این سرورها، دستورالعمل های حمله را از راه شبكه ای با بیشتر از ۱۴ هزار سرور پروكسی اجاره شده از سرویس "best-proxies [.] ru" ارسال می كنند و سپس این اطلاعات را به اسكریپت های مخرب بر روی سایت های وردپرس آلوده منتقل می كند.
روش حمله به سایت های وردپرس
این اسكریپت ها فهرستی از اهدافی را كه از سرور فرمان و كنترل دریافت می كنند، می خوانند، سپس فهرستی از پسورد ها را برمبنای یك فهرست از پیش تعریف شده از الگوهای رمزنگاری جمع آوری می كنند و درنهایت تلاش می كنند تا از پسورد ی جدید ایجادشده برای ورود به حساب كاربری سایت دیگر استفاده كنند.
اگر اسكریپت تلاش كند تا بعنوان كاربری با نام "alice" به سایت example.com وارد شود، پسورد هایی مانند "alice۱"، "alice۲۰۱۸" و غیره را احداث خواهدنمود. امكان دارد این روش در یك سایت داده شده مؤثر واقع نشود، اما درصورت استفاده در تعداد زیادی از اهداف، می تواند موفقیت آمیز باشد.
برمبنای اطلاعات سایت مركز ماهر، از آنجاكه مهاجمان از شبكه ای از پروكسی ها برای مخفی كردن محل سرورهای فرمان و كنترل خود استفاده می نمایند، محققان نمی توانند تمامی فعالیت های این بات نت را پیگیری كنند، اما با بررسی سایت های آلوده، Defiant توانست اسكریپت های جست وجوی فراگیر مورد استفاده را پیدا كند. این اسكریپت ها، ورودی "POST" را از سرورهای C۲ دریافت می كنند. این ورودی، دامنه های هدف و كلمه های مورد نیاز هنگام حملات جست وجوی فراگیر را به اسكریپت اعلام می كند.
هنگام بررسی بیش تر این اسكریپت، آنها متوجه شدند درصورتی كه اسكریپت از سایت آلوده حذف شود، یك آدرس URL را برای بازیابی فهرست كلمات دریافت می كند. بدین ترتیب محققان توانستند آدرس IP یكی از سرورهای C۲ را دریافت نمایند. سپس دسترسی به سرور C۲، آنها توانستند به دستورات مختلف صادرشده از این سرور و تعدادی از سایت هایی كه بخشی از بات نت بودند، دسترسی پیدا كنند.
شركت امنیت وردپرس در تلاش است تا كاربران آلوده را از این حملات باخبر كند و این بات نت را از بین ببرد. از این رو، به صاحبان سایت های وردپرس سفارش می كند تا با نصب افزونه ی امنیتی وردپرس با نام "WordFence Defiant"، از سایت وردپرس خود در مقابل حملات جست وجوی فراگیر و لغت نامه ای محافظت كنند. این افزونه، میزان تلاش ورود ناموفق را كه مهاجم می تواند پیش از خروج از سیستم انجام دهد، محدود می كند.
این مطلب بست روید چطور بود؟
(1)
(0)
تازه ترین مطالب مرتبط
نظرات کاربران در مورد این مطلب بست روید