Довольно часто для проникновения на веб-сервер, на котором установлена CMS, злоумышленники подбирают слишком простые и предсказуемые пароли для доступа к административной панели. Подбор обычно ведётся по спискам часто используемых паролей. Этот способ атаки не требует больших вычислительных ресурсов и не всегда заметен.

В результате CMS полностью попадает под контроль злоумышленника. В некоторых административных панелях CMS можно загрузить свой файл в обход ограничений системы безопасности или изменить существующие файлы – это позволяет выполнить на зараженном сервере свой код и получить контроль над сервером. После этого злоумышленник обычно заражает скрипты CMS вредоносным кодом, с помощью которого перенаправляет пользователей и монетизирует трафик.
 

Период и результаты заражения

Одна из наиболее массовых атак с использованием слабых паролей была зафиксирована службой Безопасный Поиск Яндекса в сентябре 2011 года. В октябре 2011 мы написали о работе вредоносного кода, появлявшегося на заражённых сайтах, в статье «Вредоносный редиректор на osa.pl». Но тогда у нас не было полной уверенности в способах заражения самих сайтов, и хотя первая же рекомендация – сменить пароли – была верной, система злоумышленников продолжала работать. Взлом сайтов и заражение пользователей продолжались до начала июня 2012 года.

По данным Яндекса, на 20 июня 2012 года в общей сложности от такой атаки пострадало более 70 тыс. веб-сайтов и, по меньшей мере, 1 млн. пользователей. По нашим оценкам, злоумышленники, взламывавшие веб-серверы, успели заработать несколько десятков тысяч долларов, а владельцы вредоносных партнёрских сетей, бэкдоров и ботов, установленных на компьютерах пользователей, – на порядок больше.
Большинство сайтов, подвергшихся заражению, использовали CMS Joomla и CMS WordPress, хотя в этом случае «виновата» не столько CMS, сколько слабый пароль.

Атака, взлом и заражение веб-серверов

Схема атаки и заражения веб-серверов представлена на рис. 1.

 

Рис. 1 – Схема взлома CMS с использованием слабых паролей.

Сначала злоумышленники получали списки популярных сайтов из открытых источников.

Затем они запускали скрипт, предназначенный для определения конкретных CMS. Скрипт злоумышленников умел определять широкий спектр различных CMS, а именно:

b2evolution bitrix cmsmadesimple concrete5 cotonti dotclear drupal e107 ezpublish

geeklog impresscms joomla jumbo mediawiki nucleus osc phpfusion pivotx

serendipity silverstripe spip tikiwiki typo3 wordpress xoops

На основе данных о CMS сайтов злоумышленники готовили список адресов и типов административных панелей, загружали его на сервер, который использовался для брутфорс-атаки, и запускали атакующий скрипт (1).

Все успешно подобранные пароли к административным панелям CMS отправлялись на другой сервер злоумышленников (2), откуда их забирал скрипт, задачей которого был автоматический вход в административную панель CMS и заражение файлов вредоносным кодом (3,4,5).

При заражении скриптов в них добавлялся код, который перенаправлял пользователей, посетивших сайт, на TDS злоумышленников (6).

Распространение и монетизация вредоносного ПО

Схема дальнейшей работы и монетизации вредоносного ПО представлена на рис. 2.

Рис.2 – Схема распространения вредоносного ПО через атакованные CMS с использованием слабых паролей.

При попытке посещения зараженного сайта из результатов поиска пользователь перенаправлялся на сервер злоумышленников.

Пользователи, которые переходили на зараженный сайт из результатов поиска поисковых систем, перенаправлялись на TDS злоумышленников, откуда происходил редирект на серверы, распространяющие вредоносное ПО (1-3-5).

Если TDS злоумышленников определяла, что посетитель зараженного сайта является роботом поисковой системы, то она перенаправляла его на сервер с безвредным содержимым (2-3-4).

Чтобы монетизировать перенаправление пользователей с зараженных ресурсов на серверы, распространяющие вредоносное ПО, злоумышленники регистрировались во вредоносных партнёрских программах, принимающих нужные виды трафика и выдающие адреса серверов (6-7).

В зависимости от типа трафика вредоносные партнёрские программы использовали два типа серверов – распространяющие вредоносные ПО для обычных компьютеров и для мобильных устройств (9, 10).

В результате такая схема давала злоумышленникам возможность монетизации (11,12) своего трафика с зараженных ресурсов.

 
Заключение

Каждый, кто использует слабый пароль, знает, что из-за этого веб-сервер могут взломать. Но очень многие считают, что в реальности с ними этого никогда не произойдёт и предпочитают пользоваться слабым паролем, причём одинаковым везде, и никогда его не менять. Этим и пользуются злоумышленники.

Для защиты от такого вида атак мы рекомендуем вам выставлять сложные пароли на доступ к вашим административным панелям CMS, БД, учётным записям FTP. Если считаете, что придумали хороший пароль – проверьте, не входит ли он в 500 худших. Если хотите придумать сильный пароль, который будет хорошо запоминаться, – возьмите обычное слово и вставьте после некоторых букв цифры и специальные символы.

Сразу после установки CMS переименовывайте скрипты административной панели или директории, в которых они размещены, чтобы избавиться от стандартных и предсказуемых путей, если это, конечно, не нарушит работу самой CMS и представляется возможным. Обязательно удаляйте скрипты начальной установки.

Если у вас есть подозрения, что ваш сайт заражён, или вы не хотите допустить его заражения, то можете воспользоваться рекомендациями по обеспечению безопасности сайта, а также отправить сайт на проверку в панели «Безопасность» Яндекс.Вебмастера. Кроме того, мы регулярно публикуем информацию об актуальных заражениях в блоге Безопасного Поиска Яндекса, следите за обновлениями.

А чтобы интернет оставался для вас безопасным, пользуйтесь сервисами Яндекса, Яндекс.Интернетом и другими хорошо защищенными браузерами.

Команда Безопасного Поиска Яндекса