Badacz, który odkrył atak, Denis Sinegubko, przestrzega na przed nowym atakiem. Hakerzy infekują strony www, by te następnie infekowały kolejne strony www. W ten sposób rośnie sieć zainfekowanych stron. W momencie pisania tego tekstu portal arstechnica.com informuje o około 700 stronach, ale liczba ciągle może rosnąć.
Jak to działa? Hakerzy wybierają listę stron, które chcą zaatakować. Następnie dowolna, już wcześniej naruszona strona na WordPress, zostaje zainfekowana skryptem Java Script dynamic-linx[.]com/chx.js .
Ta technika ataku to JavaScript Injection. W momencie, gdy ktokolwiek odwiedza tę stronę, skrypt zostaje uruchomiony. Jego celem jest wywoływanie ataku brute force na WordPress na stronach z docelowej bazy. Stopniowo kolejne strony udaje się łamać i infekować kodem, a one stają się kolejnymi stronami, które służą do dalszych ataków. W ten sposób atak jest rozproszony, a hakerzy nie muszą w nim bezpośrednio uczestniczyć.
Co to jest atak brute force na WordPress?
Atak brute force polega na próbie odgadnięcia loginu oraz hasła, za pomocą których można się zalogować na stronie www. By rozpocząć atak brute force, trzeba najpierw poznać stronę logowania. Wiele stron na WordPressie korzysta z domyślnego adresu logowania, czyli „końcówki” /wp-admin. Następnie haker musi znać login lub adres e-mail i hasło. Często to też nie jest trudne – wykorzystywane są loginy zawierające imię i nazwisko albo ogólnodostępne adresy e-mail. Co więcej, nazwy profili na stronie WordPress często zawiera też mapa strony dostępna pod „końcówką” /sitemap.xml.
Najtrudniejsze więc pozostaje odgadnięcie hasła. Ataki brute force polegają na wykorzystaniu najpopularniejszych haseł w sieci i uruchomieniu skryptu (małego oprogramowania), które będzie testować każde z tych haseł, tak długo, aż trafi.
W artykule Jak zadbać o cyberbezpieczeństwo? Prosty poradnik (homodigital.pl) pisaliśmy o najpopularniejszych hasłach i o tym, jakie zasady powinno spełniać wybrane przez nas, byśmy mogli czuć się bezpieczniej. Natomiast w artykule Co to jest menedżer haseł i jak się zabezpieczyć? Poradnik dla opornych (homodigital.pl) wyjaśnialiśmy, jak korzystać z menedżerów haseł.
Jak sprawdzić, czy Twoja strona jest ofiarą?
W momencie pisania tego tekstu portal pozwalający sprawdzić strony pod kątem posiadania przez nich określonego fragmentu kodu (w tym przypadku sprawdzamy podejrzany fragment) nie wskazuje na to, by atak dotarł do Polski. Żadna ze stron znajdujących się na liście nie stoi na domenie .pl. Sprawdź sam: „dynamic-linx.com/chx.js” – 708 Web pages – PublicWWW.com
To jednak nie znaczy, że możesz czuć się w pełni bezpiecznie. Ataki tego typu nawracają regularnie. Omawiany w tekście atak ewoluuje od kilku tygodni i formę brute force przyjął dopiero niedawno. Co będzie następne – to wiedzą tylko atakujący. Dlatego tak ważne jest stosowanie bezpiecznych, złożonych i długich haseł. Oraz regularne odświeżanie wszystkich wtyczek, motywów i samego WordPressa.
Aktualizacje często są aktualizacjami bezpieczeństwa, więc tylko od Ciebie zależy, czy zadbasz o swoją stronę www. Ofiarą hakerów można zostać w bardzo łatwy sposób – choćby klikając link w podejrzanym e-mailu. Bądź ostrożny w sieci!
Autor zdjęcia: Prostock-studio