WordPress massiver Brute-Force-Attacke ausgesetzt

Hosting-Provider und Spezialisten für Netzsicherheit registrieren einen drastischen Anstieg des Traffics auf Websites, die auf der Engine von WordPress laufen. Unter Verwendung von zehntausenden IP-Adressen versuchen unbekannte Cyberkriminelle Zugriff auf das Administrationspaneel der Websites mittels Ausprobieren von möglichen Passwörtern per Wörterbuch zu erhalten (Brute-Force-Methode). Im Erfolgsfall wird die gehackte Ressource Teil eines Botnetzes und in die laufende Angriffsserie eingebunden.

Versuche eines Massenhacks von WordPress sind keine Seltenheit, allerdings gehen die Hacker dieses Mal mit nicht gekannter Heftigkeit vor. Nach Angaben des Sicherheits-Unternehmens Sucuri hat sich die Zahl der blockierten Brute-Force-Attacken auf die Plattform WordPress im April verdreifacht und beträgt nun im Schnitt 77.400 Attacken pro Tag, mit einem Höchstwert von über 100.000 Angriffen. Die Bots fragen /wp-login.php an und versuchen sich Zugriff zu verschaffen, indem sie eine Liste von 1.000 populären Kombinationen von Login-Passwörtern durchprobieren. Meistens geben sie als Benutzername admin ein, und als Passwort sind admin, 123456, 666666, 111111, 12345678 und qwerty am gängigsten. Auf einer gehackten Site wird ein Backdoor eingeschleust, der den Cyberkriminellen die entfernte Steuerung der Ressource ermöglicht.

Nach Einschätzung des Unternehmens HostGator – der erste Hosting-Provider, der Informationen über den weltweiten Vorfall veröffentlicht hat – sind in diese Hacker-Kampagne mehr als 90.000 verschiedenartige IP-Adressen involviert. Ihr Ziel ist nicht nur WordPress, sondern auch Joomla, wenn auch in bedeutend geringerem Maße. Der Betreiber des großen CDN Netzes CloudFlare, der eigenen Angaben zufolge etwa 3% der via Netz gestellten Anfragen bearbeitet, blockierte innerhalb einer Stunde 60 Millionen Anfragen an seine Kunden, die WordPress nutzen. Dabei wird von jeder angreifenden IP-Adresse pro Mal nur eine Anfrage gestellt.

CloudFlare vermutet, dass die Angreifer mit einem nicht sonderlich großen Botnetz aus Heimcomputern operieren und beabsichtigen, ein solideres Netz auf der Basis von Webservern aufzubauen. Letztere sind rund um die Uhr verfügbar und in der Lage, mächtigen Traffic zu generieren. Außerdem lassen sie sich nicht so ohne weiteres blockieren. Ein auf Webservern basierendes Botnetz kann großen Schaden anrichten, wenn es von Phishern genutzt wird, Schädlinge verbreitet oder an DDoS-Attacken beteiligt ist – beispielsweise unter Verwendung der effektiven Skript-Sammlung itsoknoproblembro.

Doch dieses unerfreuliche Ereignis hat auch etwas Positives bewirkt: Das Ausmaß der Attacke hat Hosting-Provider dazu bewegt, gemeinsam nach Lösungen zu suchen. Im Netz sind Informationen „aus erster Hand“ erschienen – Vorschläge und Empfehlungen für zahlreiche Anwender von WordPress. Das Unternehmen CloudFlare spielt wie immer mit offenen Karten und teilt seine Datenbank von IP-Adressen, die an dem Hacker-Überfall beteiligt sind, mit Kollegen. Die Experten des Unternehmens haben die Signatur der Attacke in das CDN-Netz geladen und blockieren alle schädlichen Anfragen. Der Entwickler von WordPress hat in seinem Blog eine Warnung ausgesprochen und darauf hingewiesen, dass bei Attacken dieses Ausmaßes Beschränkungen bezüglich der IP-Adresse oder eine künstliche Verlangsamung des Autorisierungsprozesses keinen großen Sinn ergeben. Seiner Meinung nach – und darin stimmen alle Hoster mit ihm überein – sollten alle Nutzer der angegriffenen Plattform ihre Passwörter umgehend verstärken, die Option der Zwei-Faktoren-Authentifizierung aktivieren, die seit kurzem verfügbar ist, und sich von der Aktualität der installierten Version von WordPress und der Plugins überzeugen.

Zum Vergleich: Im Dezember letzten Jahres gab es 634 Millionen Websites, darunter 59,4 Millionen auf der Basis von WordPress. Zum gegenwärtigen Zeitpunkt verwenden über 64,2 Millionen Sites dieses CMS mit einer Gesamtbesucherzahl von 371 Millionen im Monat.

Quellen:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.