Takie tam o ataku Brute Force

Scenariusz niczym z filmu… . Nie sądziłem że którakolwiek ze zrobionych przeze mnie stron internetowych stanie się celem tak zmasowanego ataku, a jednak. Piękny weekendowy poranek, pełen nadziei że odpocznę. Piję kawę i sprawdzam skrzynkę mailową, a tutaj ostrzeżenie od administracji serwera o przekroczeniu limitu zapytań w ciągu doby do baz danych na jednym z moich serwerów.

email od nazwy

Czyżby ogólnopolska kampania reklamowa w TV u jednego z klientów spowodowała nagły ruch na stronie? Raczej wątpię.

Pierwsze co to sprawdzanie logów z serwera i już tu zaskoczenie. Plik choć przecież tekstowy był tak duży, że  po mimo całkiem dobrego kompa na którym pracuję to ulubiony edytor HTML – Atom nie dawał rady go otworzyć. Jednak po kilku zabiegach udało się. I oto pierwsze logi:

Logi z serwera XML RPC

Czyli atak na jakże diabelnie użyteczny protokół XML-RPC w Wrodpressie, nie znam osoby która by z tego korzystała. Zablokowanie dostępu do niego na poziomie serwerowego .htaccess zajęło mi kilka minut, po czym w logach błędów widziałem sypiące się pięknie access denied. Jednak wektorem ataku nie był jedynie nieszczęsny protokół XML-RPC, ale również tradycyjnie wp-login.php czyli strona logowania w WordPressie:

Logi z serwera Marzec

No więc poszło najszybsze rozwiazanie, czyli blokowanie dostępu dla IP.

Pomogło. Jednak wiedziałem że po tym jak ktoś zobaczy 403, zmieni IP w ciągu kilkunastu minut. Dlatego traktowałem to jedynie jako rozwiązanie tymczasowo blokujące atak. Oczywiście na każdej stronie (po za mocnym 14 znakowym hasem składającym się z dużych i małych liter oraz znaków specjalnych) były zabezpieczenia ograniczające ilość prób logowania w ciągu godziny, oraz popularne kody Captcha od Google, ale mimo to ataki trwały dochodząc w szczycie do KILKUNASTU PRÓB LOGOWANIA NA SEKUNDĘ!!!

I pod koniec garść statystyk z marca 2018:

Statystyki nazwa

Większość pochodzi z nieznanego źródła UNKNOWN i choć średnia odwiedzin plasuje się w granicach 25 tysięcy na miesiąc (z Polski) to zdarzały się już miesiące gdzie było ponad 100 tysięcy “odwiedzin” ze Stanów Zjednoczonych, Chin, Francji czy Rosji.  Marzec jak widać był inny ponieważ większość “wizyt” była ze źródła nieznanego UNKNOWN które w poprzednich miesiącach nigdy nie przekraczało statystycznych 10%. No ale z drugiej strony, co za problem w dzisiejszych czasach użyć VPNa, czy proxy?

obciążenie serwera

Jak widać ciągłe wałkowanie tematu o konieczności aktualizowania oprogramowania i używania “bezpiecznych” haseł bierze się z właśnie takich sytuacji. Na szczęście w tym ataku obyło się bez strat… no, nie licząc może mojego całego dnia w trakcie którego dogłębnie analizowałem sytuację.

Wszystkie moje wordpressy są aktualizowane na bieżąco, hasła długie i losowe. Dodatkowo na wszelki wypadek zainstalowałem kilka zabezpieczeń takich jak 2FA, które jak widać po powyższym wykresie pomogły zmniejszyć obciążenie serwera. Wniosek na przyszłość, że czasem trzeba organizować sobie wieczorne soboty przy kawie i ciastku przeglądając logi. :D

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *