Опасность использования слабых паролей для CMS

02.07.2012 15:57

Довольно часто для проникновения на веб-сервер, на котором установлена CMS, злоумышленники подбирают слишком простые и предсказуемые пароли для доступа к административной панели. Подбор обычно ведётся по спискам часто используемых паролей. Этот способ атаки не требует больших вычислительных ресурсов и не всегда заметен.

В результате CMS полностью попадает под контроль злоумышленника. В некоторых административных панелях CMS можно загрузить свой файл в обход ограничений системы безопасности или изменить существующие файлы – это позволяет выполнить на зараженном сервере свой код и получить контроль над сервером. После этого злоумышленник обычно заражает скрипты CMS вредоносным кодом, с помощью которого перенаправляет пользователей и монетизирует трафик.

Одна из наиболее массовых атак с использованием слабых паролей была зафиксирована в сентябре 2011 года. Взлом сайтов и заражение пользователей продолжались до начала июня 2012 года. По данным Яндекса, на 20 июня 2012 года в общей сложности от такой атаки пострадало более 70 тысяч веб-сайтов и, по меньшей мере, 1 миллион пользователей. Большинство сайтов, подвергшихся заражению, использовали Joomla и WordPress, хотя в этом случае виновата не столько CMS, сколько слабый пароль.

Ниже представлена схема атаки и заражения веб-серверов с использованием слабых паролей:

Сначала злоумышленники получали списки популярных сайтов из открытых источников. Затем они запускали скрипт, предназначенный для определения конкретных CMS. Скрипт злоумышленников умел определять широкий спектр различных CMS. На основе данных о CMS сайтов злоумышленники готовили список адресов и типов административных панелей, загружали его на сервер, который использовался для брутфорс-атаки, и запускали атакующий скрипт. Все успешно подобранные пароли к административным панелям CMS отправлялись на другой сервер злоумышленников, откуда их забирал скрипт, задачей которого был автоматический вход в административную панель CMS и заражение файлов вредоносным кодом. При заражении скриптов в них добавлялся код, который перенаправлял пользователей, посетивших сайт, на TDS злоумышленников.

Ниже представлена схема дальнейшей работы и монетизации вредоносного ПО через атакованные CMS с использованием слабых паролей:

При попытке посещения зараженного сайта из результатов поиска пользователь перенаправлялся на сервер злоумышленников. Пользователи, которые переходили на зараженный сайт из результатов поиска поисковых систем, перенаправлялись на TDS злоумышленников, откуда происходил редирект на серверы, распространяющие вредоносное ПО. Если TDS злоумышленников определяла, что посетитель зараженного сайта является роботом поисковой системы, то она перенаправляла его на сервер с безвредным содержимым. Чтобы монетизировать перенаправление пользователей с зараженных ресурсов на серверы, распространяющие вредоносное ПО, злоумышленники регистрировались во вредоносных партнёрских программах, принимающих нужные виды трафика и выдающие адреса серверов. В зависимости от типа трафика вредоносные партнёрские программы использовали два типа серверов: распространяющие вредоносное ПО для обычных компьютеров и для мобильных устройств. В результате такая схема давала злоумышленникам возможность монетизации своего трафика с зараженных ресурсов.

Итог

Каждый, кто использует слабый пароль, знает, что из-за этого веб-сервер могут взломать. Но очень многие считают, что в реальности с ними этого никогда не произойдёт и предпочитают пользоваться слабым паролем, причём одинаковым везде, и никогда его не менять. Этим и пользуются злоумышленники.

Для защиты от такого вида атак рекомендуется выставлять сложные пароли на доступ к вашим административным панелям CMS, БД, учётным записям FTP. Если хотите придумать сильный пароль, который будет хорошо запоминаться, то возьмите обычное слово и вставьте после некоторых букв цифры и специальные символы.

Сразу после установки CMS переименовывайте скрипты административной панели или директории, в которых они размещены, чтобы избавиться от стандартных и предсказуемых путей, если это, конечно, не нарушит работу самой CMS и представляется возможным. Обязательно удаляйте скрипты начальной установки.





Комментарии Facebook



Комментарии ВКонтакте

04.04.17 | CMS Magazine
Открыт сбор данных для рейтинга SEO-компаний-2017

4 апреля Рейтинг Рунета запустил прием заявок на участие в ежегодном рейтингеSEO-компаний. К участию приглашаются агентства и студии, специализирующиеся на поисковом продвижении сайтов и ...

Перейти к новости

28.02.17 | UMI.CMS
Как организовать работу разработчиков, сохранить нервы и повысить эффективность

Бытует мнение, что программисты — безответственные, ленивые индивидуалисты, вечно срывающие сроки. Так и есть! Шучу. Конечно, отчасти это верное, хоть и сильно утрированное, утверждение, ...

Перейти к новости

07.03.12 | Habrahabr
CMS / Что нас ждет в Joomla Framework 12.1

Возможно еще не все осознали, но Joomla давно разделилась на две части — Joomla CMS и Joomla Framework. Последний имеет версию <a href="https://github.com/joomla/joomla-platform/commit/4329ba0c4c0df438afa70a8e222dcf278fdb78ec">11.4</a>, но усиленно ...

Перейти к новости

24.05.2018 (Москва)
ECOM Expo'18



Яндекс цитирования
Разработка сайта:Разработка сайтов: ЮМИ Студияumistudio.
Интернет-агентство свежих идей.
Сайт работает на UMI.CMS
По всем вопросам обращайтесь на admin@cmslist.ru
© 2003—2017 CMS List. Перепечатка материалов
возможна только с письменного разрешения редакции
Контакты · Добавить CMS
Реклама · Условия перепечатки