Botnet greift Wordpress- und Joomla-Installationen an
Zur Zeit greift ein Botnet Wordpress- und Joomla-Installationen an und versucht, über einen Brute-Force-Angriff das Administrator-Passwort zu ermitteln. Was danach passiert, ist nicht ganz klar: Entweder wird auf den erfolgreich angegriffenen Servern ein Exploit-Kit installiert, oder die Server sollen zu einem machtvollen Botnet zusammengefasst werden.
Die Angriffe
Berichte über die Angriffe gibt es zum Beispiel von ...
... Sucuri Security, wo man statt der üblichen durchschnittlich 30-40 Tausend Angriffen pro Tag im April bisher durchschnittlich 77.000 Angriffe pro Tag beobachtet hat, mit Spitzenwerten von über 100.000 Angriffen in den letzten Tagen.
... HostGator, wo man Angriffe von mehr als 90.000 IP-Adressen registriert hat.
... CloudFlare, wo man befürchtet, dass die infizierten WordPress-Installationen zu einem Botnet zusammengefasst werden sollen.
... webhostlist.de, wo man erst über Angriffe auf deutsche Hoster und danach über weltweite Angriffe berichtet hat. Als Ausgangspunkt der Angriffe auf die deutschen Hoster wurden kompromittierte Server gemeldet, während die weltweiten Angriffe von einem Botnet ausgehen.
... Melbourne Server Hosting, wo man Angriffe nicht nur auf WordPress, sondern auch auf Joomla beobachtet hat.
... Brian Krebs, der verschiedene Quellen zusammenfasst und zum Beispiel berichtet, dass laut Daniel Cid, dem Chief Technology Officer von Sucuri Security, in die erfolgreich angegriffenen Wordpress-Installationen Hintertüren und Schadsoftware, darunter das Blackhole Exploit Kit eingeschleust wird. Brian Krebs hat von Daniel Cid auch eine Liste der für den Angriff verwendeten Benutzernamen und Passwörter erhalten und veröffentlicht.
Vor allem die Liste der Benutzernamen ist interessant:
- Admin (25 Passwörter)
- aaa (4 Passwörter)
- adm (6 Passwörter)
- admin1 (6 Passwörter)
- admin (1174 Passwörter)
- administrator (6 Passwörter)
- chase (1 Passwort -
775besunny
) - chase@blackrocksolar.org (3 Passwörter)
- danporras (2 Passwörter)
- jepser (20 Passwörter)
- jessica (34 Passwörter)
- manager (7 Passwörter)
- qwerty (6 Passwörter)
- root (4 Passwörter)
- rose (1 Passwort -
rose
) - support (6 Passwörter)
- sysadmin (3 Passwörter)
- test (6 Passwörter)
- tom (3 Passwörter)
- user (6 Passwörter)
Außer den "üblichen Verdächtigen" wie vor allem
admin
und ähnlichem haben die Angreifer es auf einige
"normale" Benutzer(namen) abgesehen: chase (und besonders
chase@blackrocksolar.org), danporras, jepser,
jessica und tom. Entweder haben diese Benutzer die
Angreifer mal irgendwie verärgert, oder die Angreifer haben mit diesen
Benutzernamen besonders gute Erfahrungen gemacht. Interessant sind auch die
dazu gehörenden Passwörter, aber die sehen Sie sich besser selbst
an.
WordPress absichern
Den besten Schutz gegen die aktuellen Angriffe bietet ein gutes Passwort. Noch besser ist es, wenn die Angreifer nicht nur das Passwort, sondern auch den Benutzernamen des Admins raten müssen. WordPress-Entwickler Matt Mullenweg schreibt dazu:
"Almost 3 years ago we released a version of WordPress (3.0) that allowed you to pick a custom username on installation, which largely ended people using “admin” as their default username. ...
Here’s what I would recommend: If you still use “admin” as a username on your blog, change it, use a strong password, if you’re on WP.com turn on two-factor authentication, and of course make sure you’re up-to-date on the latest version of WordPress."
Dem ist eigentlich nichts hinzu zu fügen, denn damit verhindert man in der Tat den Großteil der Angriffe. Daher hier als kleine Checkliste:
- Wenn Sie für den Administrator immer noch den Benutzernamen
admin
(oder ähnliches, s.o.) verwenden, ändern Sie ihn auf einen nicht so leicht erratbaren Namen. - Verwenden Sie den Administrator-Benutzer wirklich nur für die
Administration des Blogs. Legen Sie (mindestens) einen weiteren Benutzer
mit der Rolle
Autor
an, und verwenden Sie dieses Konto zum Schreiben von Beiträgen und für Kommentare. - Verwenden Sie sichere Passwörter.
- Halten Sie WordPress und alle Plugins aktuell.
- Installieren Sie nur die Plugins, die Sie wirklich benötigen. Was automatisch zum nächsten Punkt führt:
- Löschen Sie alle Plugins, die Sie nicht (mehr) benötigen.
Als zusätzliche Schutzmaßnahme können Sie die Datei
wp-login.php
mit einem Passwortschutz auf Webserver-Ebene
versehen.
Blogger, die WordPress.com verwenden, sollten die vor kurzem eingeführte Zwei-Faktor-Authentifizierung verwenden. Wie Sie die aktivieren, wird in der Dokumentation beschrieben, ein Wizard führt Sie durch die nötigen Schritte.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Authentifizierung: Sichere Passwörter
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zur IE-0-Day-Schwachstelle und Angriffen auf und über WordPress-Blogs
Vorschau anzeigen