RU EN

Активизировать сканы с целью захвата Wordpress

17.07.2017

Злоумышленники массово проверяют новые установки WordPress, торопясь воспользоваться ошибками в конфигурации серверов.

В период с конца мая по середину июня разработчики защитного WordPress-плагина WordFence зафиксировали значительный рост числа автоматизированных атак на аккаунты WordPress. Согласно результатам наблюдений, пик враждебной активности, примерно 7,5 тыс. сканов в сутки, пришелся на 30 мая.

По словам Марка Маундера (Mark Maunder), исполнительного директора и основателя компании, авторы атаки ежедневно проводят тысячи сканов в поисках /wp-admin/setup-config.php – URL, используемого для настройки новых WordPress-сайтов. Целью этого сканирования является обнаружение свежих экземпляров CMS-системы, которые еще не успели сконфигурировать.

В своей блог-записи Маундер отметил, что провести атаку WPSetup, как он ее называет, несложно. Если инсталляция WordPress не завершена, злоумышленник сможет вмешаться в процесс и закончить работу пользователя в своих интересах: закрепить собственные имя базы данных, имя пользователя, пароль и сервер базы данных. Для захвата контроля над сайтом ему придется запустить новую WordPress и создать учетную запись администратора, заполнив ее своими данными.

Маундер также предупреждает, что атакующему не составит особого труда скомпрометировать не только WordPress-сайт, но и хостинг-аккаунт жертвы. При наличии административного доступа к сайту, привязанному к учетной записи размещения, злоумышленник сможет выполнить любой PHP-код, используя редактор какой-либо темы или плагина либо загрузив на сайт и запустив собственный плагин с таким кодом. Возможность исполнения кода позволит, к примеру, установить вредоносный шелл в директорию жертвы, чтобы обеспечить доступ ко всем файлам и сайтам в пределах ее хостинг-аккаунта, а также ко всем базам данных, доступных для данного экземпляра WordPress, и данным других приложений.

WordPress scan spike - WordFence

Знатоки WordPress не видят новизны в атаке WPSetup, но сошлись во мнении, что это не умаляет ее эффективности. «Тактика, применяемая в этой атаке, хорошо известна», – подтвердил Уэстон Хенри (Weston Henry), ведущий специалист по ИБ на сервисе SiteLock, ежедневно сканирующем сайты на предмет уязвимостей. Эксперт полагает, что для поиска незавершенных инсталляций phpMyFAQ атакующие могли применить устаревший сканер spiga.py.

Чтобы воспрепятствовать стороннему доступу к сайтам в процессе установки WordPress, Маундер рекомендует заранее создать в корневом каталоге файл .htaccess, ограничив разрешения собственным IP. Более рискованный способ – постараться опередить противника, сократив время инсталляции CMS, то есть после установки файлов WordPress сразу запросить доступ к сайту и завершить процесс.

 

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.