一昨日あたりから WordPressを狙う大規模な攻撃が世界中で観測されていて、セキュリティベンダやホスティング事業者などが注意を呼び掛けています。*1
WordPressを狙った大規模なブルートフォース攻撃(?)が観測されているみたい。
— Masafumi Negishi (@MasafumiNegishi) April 12, 2013
CloudFlareの報告→ http://t.co/CVoxZ7nYIc
Sucuriの報告→ http://t.co/Q5jw0JD92X
攻撃の概要をまとめると、こんな感じです。
対策について、WordPress開発者(ファウンダ)の一人である Matt Mullenwegもコメントしていますが、次の 2つはすぐにやったほうがいいでしょう。
- admin という管理者ユーザ名を変更すること *2
- 簡単に推測できない強力なパスワードを設定すること
またすでに不正にログインされてしまった可能性もあります。adminユーザに弱いパスワードを設定していたなど心当たりのある方は、見覚えのないユーザやファイルが追加されていないか確認したほうがいいでしょう。
さて攻撃の内容については Sucuriの記事が比較的詳しく、狙われているユーザ名やパスワード、攻撃元の IPアドレスの情報なども載っています。以下の表は Sucuriのデータを元に作成したものです。
試行されているユーザ名 Top 5 と試行回数
ユーザ名 | 試行回数 |
---|---|
admin | 652,911 |
test | 10,173 |
administrator | 8,992 |
Admin | 8,921 |
root | 2,495 |
試行されているパスワード Top 5 と試行回数
パスワード | 試行回数 |
---|---|
admin | 16,798 |
123456 | 10,880 |
666666 | 9,727 |
111111 | 9,106 |
12345678 | 7,882 |
気になるのは、一見ランダムにも思えるパスワードがかなり試行されている点ですね。このパスワードをググってみると…なんかそれらしいパスワードリストがあるので、攻撃者はこういった情報をいろいろ集めて攻撃に利用しているのかもしれません。
あと攻撃者の目的ですが、不正ログイン後に Blackhole Exploit Kitなどを設置する活動が一部で観測されているようです。また今回の攻撃自体が WordPress等のサイトから行われているとの情報もあり、サーバに感染するタイプの Botnetを構築しようとしている可能性もあります。(例えば "Operation Ababil" で使用されたとみられる itsoknoproblembro など。)
(参考情報)
ベンダ等の注意喚起
- Protecting Against WordPress Brute-Force Attacks - Sucuri Blog
- Mass WordPress Brute Force Attacks? - Myth or Reality - Sucuri Blog
- Patching the Internet in Realtime: Fixing the Current WordPress Brute Force Attack
- Global WordPress Brute Force Flood | HostGator Blog
- http://blog.resellerclub.com/2013/04/12/global-attack-on-wordpress-sites/
- Brute force attack on WordPress and Joomla powered sites - Melbourne
- WordPress wp-login.php brute force attack - InMotion Hosting
まとめ記事など
- Hackers Point Large Botnet At WordPress Sites To Steal Admin Passwords
- 全世界のWordPressサイトに大規模攻撃; デフォルトのアドミンユーザ名’admin’がねらわれている | TechCrunch Japan
- Huge attack on WordPress sites could spawn never-before-seen super botnet | Ars Technica
- Brute Force Attacks Build WordPress Botnet — Krebs on Security
- Hosting Providers Suspect Botnet Behind WordPress and Joomla Brute Force Attacks, Security Firm Says Attempts Have Tripled
- CloudFlare Blocks 60 Million Brute Force Wordpress Attacks in 1 Hour