Napadi na Wordpress in Joomla administrativni vstop

Tweet

Danes smo zaznali zelo obsežne napade na administrativni vstop skript wordpress in joomla. V kolikor sami nimate ustreznih modulov za obrambo pred tem smo bili primorani začasno takšne strani, ki so napadene suspendirati saj z neuspešnimi konstantnimi poizkusi prijav napadalci bremenijo strežnike in vsem zaradi tega počasi delujejo tudi spletne strani. Prva obramba je, da uporabniki teh skript preimenujete in spremenite linke (povezave) do teh admnistrativnih vmesnikov za prijavo. V nadaljevanju je dobro za te stvari najti dodatne varnostne module.

V kolikor je vaša spletna stran trenutno suspendirana vas prosimo, da odprete podporni zahtevek na naši spletni strani http://www.webicom.net/prijava-za-stranke, da preverimo situacijo in vas odsuspendiramo. Žal pa obstja možnost, da ob vklopu vaše strani nazaj spet pride do preobremenitve saj napadlci napade vršijo z avtomatiziranimi skriptami. Z naše strani iščemo možnost nastavitev v našem požarnem zidu, da bi preprečili take napade vendar pa je to načeloma nekoliko težje saj dejansko prihajajo normalni zahtevki vendar pa iz veliko različnih IP številk. Zaradi dane situacije vas prosimo, da pred prijavo težave raziščete možnosti tudi sami kako se boste branili pred tovrstnimi težavami. Napadi so zelo sofisticirani in usklajeni saj ne napadajo le iz par IP številk ampak vsak zahtevek je skoraj iz drugega IP-ja tako, da je s požarnim zidom skoraj nemogoče narediti učinkovito obrambo zato od nas zahteva veliko spremljanja dogajanja in se ročno prilagajati na napade. Po podatkih drugih večjih konkurentov iz tujine, ki se jim dogaja enako jih napadajo vsaj iz 90.000 različnih IP-jev.

POSODOBITEV: 26.8.2013 ob 20:10

Vse uporabnike odprtokodnih sistemov Wordpress in Joomla prosimo, da poiščejo ustrezno zaščito (plugine) za obrambo pred napadi nasilnega ugibanja gesel (Brute force protection). Še boljša opcija je zavrovanje administrativnega IP-ja le na en IP. Več ali manj za oba sistema obstaja vrsta dodatkov za zaščito. Za vas smo piskali nekaj opcij in sicer:

Za uporabnike Wordpress 
Na naslovu http://codex.wordpress.org/Brute_Force_Attacks boste našli koristne nasvete kako se ubraniti pred tovrstnimi napadi kot tudi vtičnik za wordpress, ki vas bo branil pred napadi. Vtinik najdete tudi direktno na povezavi http://wordpress.org/plugins/bruteprotect/. Po opisanem sodeč je zelo priporočljiv tudi Lockdown Admin vtičnik na naslovu http://wordpress.org/plugins/lockdown-wp-admin/

Za uporabnike joomla
Vtičnik za Joomal Brute force protection najdete na http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/22982. 

Nasvet za Wordpress in Joomla uporabnike, če ne gre drugače
V primeru, da trenutne ne morete drugače lahko administrativni dostop dodatno zaščitite tako, da se dodatno nastavi geslo do mape kjer je administrativni dostop. Kot prvo bi priporočal, da spremenite mapo za dostop do administracije in ime same datoteke. Napadalci napadajo večinoma le tiste strani, ki imajo privzete administratine naslove torej takšne kot jih ponudi osnovna inštalacija sistema. Ne glede na to ali imate spremenjnena imena ali ne pa predlagamo zaščito mape  z geslom. To storite na sedeč način:

Zaščita željenega direktorija z geslom:
1) Kliknite Mape zaščitene z geslom na prvi strani ob prijavi v kontrolno ploščo v sekciji Varnost.
2) Pred vami so mape, ki jih imate na svojem spletnem računu. Izberite željeno mapo, ki jo želite zaščititi z geslom tako, da kliknete nanjo.
3) Obkljukajte polje Password protect this directory:.
4) V prazno polje vnesite kratko frazo ali besedo, ki se bo pojavila obiskovalcu, ki bo želel dostopati do te mape. Gre izključno za "modni" dodatek in boljšo preglednost ob dostopanju do takšne mape.
5) Spodaj imate formo Create User oz. Kreiraj uporabnika. Vnesite vse potrebne parametre in na koncu kliknite add/modify authorizet user. S tem ste kreirali tudi uporabnika, ki ima dovoljenje za vstop v to mapo ali podampo.

NASVET: V polju Authorized users oz. Dovoljeni uporabnik lahko vidite vse uporabnike, ki ste jih ustvarili in jim s tem dovolili dostopati do te mape. V primeru, da želite nekoga izključiti kliknite na tega uporabnika v seznamu in nato gumb Briši uporabnika. V primeru, da nekemu uporabniku želite spremeniti le geslo, je postopek dejansko enak kot, če bi ga ustvarjali na novo. Razlika je v tem, da vpišete enako up. ime kot je že v seznamu aktivnih uporabnikov in novo geslo ter potem kliknete gumb Spremeni geslo. Uporabnik ima sedaj novo geslo.

POSODOBITEV: 28.8.2013 ob 22:50

Napadi še vedno trajajo in tu in tam je na kakšnem od strežnikov tako močan val napadov, da nekaj časa vse deluje počasneje. Na naši strani se nenhno borimo s temi napadi in vsaj danes so največ napadali Joomla administrativni del. Sproti spremaljamo napade in na podlagi zaznave koga napadajo (napadajo pa po več joomla administracij na istem strežniku hkrati) potem z geslom zaščitimo administrativni del. V kolikor se vam bo ob prijavi v administrativni del pojavilo dodatno okno za prijavo vas prosimo, da na naši spletni strani odprete podporni zahtevek http://www.webicom.net/prijava-za-stranke, da vam sporočimo kakšno je geslo. S tovrstno dodatno zaščito preprečimo večje obremenitve saj njihovi poizkusi ne bremenijo več toliko apache strežnik in popolnoma nič mysql podatkovne baze zato predlagamo vsem uporabnikom Joomle pa tudi Wordpress-a, da iz preventive sami zaščitite administrativne dele po zagoraj opisanih navodilih z dne 26.8.2013. Tisti, ki smo jim pa že mi to naredili pa predlagamo,d a to zaščito pustijo saj v primeru, da se zaščita odstrani napadi pa nadaljujejo bomo primorani v celoti suspendirati spletni račun dokler sami ne naredite boljše zaščite. 

Lep pozdrav, WebiCom