Ataki na WordPress’a, SQL Injection, spam przez formularze, próby odgadni?cia hase? typu brute force – to najcz?stsze ataki, jakie s? dokonywane na polskie strony internetowe. Atakuj?cy nasze strony boty pochodz? przede wszystkim z Finlandii, Francji, Ukrainy oraz Rosji – takie wyniki przynios?o badanie sposób i ?róde? ataków w polskim internecie, które zosta?o przeprowadzone w pierwszym pó?roczu br. przez grup? hostingow? H88.
Badanie zrealizowane przez H88 polega?o na umieszczeniu skryptów zliczaj?cych i blokuj?cych podejrzane ??dania. Skrypty zosta?y umieszczone na stronach marek hostingowych nale??cych do grupy H88, w tym Linuxpl.com, Hekko.pl, stronie H88.pl, wybranych blogach i systemach. Trzeba przy tym pami?ta?, ?e ka?da strona b?dzie mie? w?asny „profil ataków”, który mo?e by? inny – wi?kszo?? typów ataków b?dzie jednak si? pokrywa?. W ci?gu pierwszej po?owy 2019 roku zarejestrowano 101121 adresów IP, z których dosz?o do 114711 zanotowanych incydentów. Na tej podstawie okre?lono ?ród?a i najcz?stsze sposoby ataków.
Atakuj? g?ównie z zagranicy
Najwi?cej problematycznego ruchu przysz?o niespodziewanie z… Finlandii! By?a to niemal po?owa ??da?. Na kolejnych miejscach znalaz?y si? Francja, Ukraina, Rosja, Kanada oraz Chiny. Dopiero na siódmy miejscu s? wewn?trzne ataki wykonywane z Polski, a potem kolejno z USA, Irlandii oraz W?och.
Dominuj? ataki na WordPress i SQL Injection
W badaniu najwi?cej zarejestrowano prób dotarcia do pliku odpowiedzialnego za XML-RPC w systemie CMS WordPress. To mechanizm zdalnego wywo?ywania procedur, który – je?li wykorzysta si? go niew?a?ciwie – potrafi bardzo szybko i efektywnie „popsu?” stron?.
Mechanizm ten jest rzadko potrzebny na stronach. Tam, gdzie zainstalowali?my nasz monitoring zagro?e?, by? on wy??czony. Mimo to roboty uparcie o niego odpytywa?y, co traktowali?my jako szukanie podatno?ci. Zarejestrowali?my ponad 133 tys. takich prób ataków. Interesuj?c? kategori? ataków by?o te? szukanie podatno?ci w pluginach i to nawet, je?li strona w ogóle nie dzia?a?a w oparciu o WordPress’a! To tylko pokazuje, jak istotnym jest, ?eby stosowa? aktualne wersje wtyczek i szablonów – mówi Artur Pajkert z Linuxpl.com
Drugim co do powszechno?ci zagro?eniem okaza? si? atak SQL Injection – H88 zarejestrowa? prawie 11 tys. prób ataków t? metod?. Polega ona na spreparowaniu informacji w taki sposób, aby aplikacja wykona?a polecenie bazodanowe, którego nie przewidzia? autor aplikacji. W ten sposób atakuj?cy zamiast np. zapisa? si? na newsletter, mo?e próbowa? otrzyma? list? wszystkich zapisanych osób, do czego nie powinien by? uprawniony.
Dojrza?e aplikacje powinny by? zabezpieczone przed takimi atakami. Natomiast zdarza si?, ?e nawet do dojrza?ego systemu, np. WordPress’a, kto? zainstaluje mniej dojrza?? wtyczk? lub motyw – wówczas k?opot gotowy! – t?umaczy Artur Pajkert.
Zalewa nas spam
Kolejn? najpopularniejsz? form? ataków na polskie strony internetowe jest „flood fill”. Ten rodzaj ataków zdefiniowano jako prób? zalania formularza na stronie (np. kontaktowego, do komentowania wpisów na blogu, do zak?adania us?ug) masowymi wpisami o charakterze spamerskim.
Bardziej od tre?ci szkodliwy jest masowy charakter takiego dzia?ania, które mo?e powodowa? wykorzystanie limitów serwera, sparali?owanie pracy osób obs?uguj?cych takie zg?oszenia, czy radykalne obni?enie atrakcyjno?ci strony w oczach zwyk?ych u?ytkowników – wyja?nia Artur Pajkert.
Odmian? tego typu ataku jest masowe wysy?anie do strony ??da? zawieraj?cych wpisy, które maj? sk?oni? do klikni?cia w okre?lony link – czy to cz?owieka, czy te? robota Google. Pojawia? si? mog? one jako recenzje produktów, zg?oszenia serwisowe, komentarze pod wpisami itp.
Najwi?cej by?o spamu zawieraj?cego podejrzane linki, reklam ?rodków na potencj?, odchudzanie i porost w?osów, ofert finansowych, porno oraz innych ofert darmowych us?ug i produktów przeró?nego rodzaju – mówi Artur Pajkert.
Inne zagro?enia
Do innych zarejestrowanych zagro?e? nale?a?y tak?e: Brute Force, AFD (Arbitrary File Download), System Words oraz XSS (Cross-Site-Scripting). Atak typu Brute Force polega na próbie „odgadni?cia” has?a do serwisu przez sprawdzenie wszystkich mo?liwych kombinacji. Z kolei atak AFD wykorzystuje luk? zwi?zan? z brakiem filtrowania zmiennej obs?uguj?cej pobieranie plików lub nadmierne uprawnienia w niew?a?ciwie skonfigurowanym serwerze – takie, które powoduj? pobranie dowolnego pliku
System Words to atak znany szerzej jako „path traversal” – czyli skanowanie podatno?ci serwera na dost?p do plików systemowych przez wychodzenie do wy?szego poziomu ?cie?ek systemowych. Atakuj?cy robi to wszystko z nadziej?, ?e natrafi na ?cie?k? umo?liwiaj?c? odczyt wa?nego pliku, np. zawieraj?cego informacje o nazwach u?ytkowników i has?ach.
Atak XSS sprowadza si? natomiast, najogólniej mówi?c, do osadzenia w tre?ci atakowanej strony kodu, który wy?wietlony innym u?ytkownikom mo?e doprowadzi? do wykonania przez nich niepo??danych akcji. Dzieje si? to przez przemycenie takiego kodu na przyk?ad w polu formularza, gdzie zamiast imienia podajemy skrypt, który ma si? wykona?, kiedy wprowadzone imi? mia?o by? wy?wietlone w przegl?darce.
