Zur Sicherheit von Webanwendungen - Wordpress wurde per Brute Force angegriffen - bis zu 14 Millionen Attacken pro Stunde - Ziel: Kryptominer installieren

25.12.2017 23:48:51, Jürgen Auer, keine Kommentare

Vor etwa einer Woche gab es wieder einmal so eine Meldung: Wordpress wurde massiv von Hackern angegriffen. Das Sicherheitsunternehmen Wordfence berichtete in seinem Blog darüber: Die Attacke sei so heftig gewesen, daß sie erst einmal ihre eigene Logging-Infrastruktur aufrüsten mußten. Von der heftigsten Attacke seit 2012 ist die Rede.

Brute-force heißt: Es werden Kombinationen aus Nutzernamen und Passwörtern durchprobiert. Eigentlich zufällig. Aber häufig wird bei Wordpress der Standardadministrator "admin" nicht geändert. So daß man es bsp. mit der Kombination admin/123456 probieren kann.
.

Breaking: Aggressive WordPress Brute Force Attack Campaign Started Today, 3am UTC

https://www.wordfence.com/blog/2017/12/aggressive-brute-force-wordpress-attack/

.
Die wesentlichen Stichworte:

>    The attack has so far peaked at 14.1 million attacks per hour.
>    The total number of IPs involved at this time is over 10,000.
>    We are seeing up to 190,000 WordPress sites targeted per hour.
>    This is the most aggressive campaign we have ever seen by hourly attack volume.

14 Millionen Attacken pro Stunde. Das sind 3888 Attacken pro Sekunde bzw. 233.333 Attacken pro Minute. Ausgehend von einem Botnetz von mehr als 10.000 IP-Adressen. Bei 190.000 Wordpress-Sites, die in einer Stunde angegriffen wurden, wären das etwa 73 Versuche pro Wordpress-Site. Richtige Offline-Brute-Force-Attacken testen allerdings wirklich Millionen von Kombinationen. Da sind etwa 73 pro Website eher wenig.

Eine Vermutung der Autoren: Am 05.12.2017 wurde eine Datenbank mit 1,4 Milliarden Kombinationen Nutzername/Passwort veröffentlicht. Die leicht zu durchsuchen sei. Ferner seien etwa 14 % der Kombinationen völlig neu, also "erfolgversprechend". Bis jetzt seien Brute-Force-Angriffe gegen Wordpress nicht so erfolgreich gewesen. Aber:

> This new database provides fresh credentials that, when matched with a WordPress username, may provide a higher success rate for attackers targeting sites that do not have any protection.

Durch diese neue Datenbank gäbe es eine höhere Erfolgswahrscheinlichkeit, Seiten angreifen zu können, die keinen Schutz haben.

Laut dem Standard

Hacker greifen Wordpress an: Bis zu 14 Millionen Attacken stündlich

https://derstandard.at/2000070832781/Hacker-greifen-Wordpress-an-Bis-zu-14-Millionen-Attacken-stuendlich

sei es nicht das Ziel der Hacks gewesen, Inhalte zu ändern. Stattdessen wurden Kryptomining-Skripte eingebaut. Sprich: Den Lesern der Website wird ein Script untergejubelt, so daß deren PCs nun mit Kryptomining beschäftigt sind. Dort ist davon die Rede, daß das Coinhive-Script eingebaut wurde, das Monero schürft.

Allerdings: Was kann man da machen? Etwa dann, wenn man die Informationen vom Hasso-Plattner-Institut

Die Top Ten deutscher Passwörter

https://hpi.de/pressemitteilungen/2017/die-top-ten-deutscher-passwoerter.html

mit hinzunimmt. 123456 ist das beliebteste Passwort. Die Plätze 2 - 5 sind analog aufgebaut. Es folgen "hallo" und "passwort".

Wer Wordpress installiert, möge minimal den Standardaccount "admin" ändern. Und für das Passwort "einmal auf die Tastatur fallen". 15 bis 20 Zeichen unter Verwendung von Sonderzeichen und Zahlen sowie Groß/Kleinschreibung.

Wer selbst ein Onlinesystem betreibt: Da ist es wichtig, zu häufige Anfragen hintereinander abzublocken.

Innerhalb von meiner Dienstleistung Server-Daten geht das seit geraumer Zeit so, daß ein gescheitertes Login in eine Tabelle eingetragen wird. Dann muß der Nutzer eine Sekunde warten. Gibt es innerhalb eines gewissen Zeitfensters ein weiteres gescheitertes Login dieses Nutzers, wartet er erneut. Aber länger. Das geht hoch - und bremst jeden Brute-Force-Angriff ab.

Ferner sieht man da auch so manches an Unsinn. Etwa, wenn als Nutzername ein Ausdruck wie B5D5A410-DC94-4845-997D-DEA91224D282 verwendet wird. Eine "sinnvolle Attacke" kann das eigentlich nicht sein. Oder es gibt andere online genutzte Werkzeuge, die solche Nutzernamen und Passwörter kennen.

Jedenfalls gilt im Internet: Solche Attacken gibt es ständig. Aber es gibt auch Abwehrmaßnahmen.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.