Wordpressへのブルートフォースアタック

今年に入ってからもwordpressを利用しているページのアカウントが乗っ取られてDrive-By攻撃のリダイレクタを設置されて攻撃に加担させられる例が多く観測されています。

アカウント情報を盗み出す方法は直接、間接様々な手法があるようですが、やはり単純にサイト自体がブルートフォースを食らうパターンが多いのかなと。ネット上に公開されているサーバーの宿命というか。

実際に複数のwordpressを立ち上げているサーバーで観測したところ、やはりたくさんきます。ここでの観測ポイントでは５月末あたりまではひどく最近は落ち着いていますが、たまたまでしょう。

攻撃をうけていたページは２つ。

通常のログイン画面へのID/passwordのセットでのログイン試行。

もう一つは、パスワードを忘れた時のためのこのページを利用したアカウントの存在確認。

その他の手法もあるのでしょうがいまのところこれだけ。

試行されているIDはこの３つ。

 admin
 root
 webmaster

圧倒的にadminが多いですが、その他のありがちな２つも試されてます。入力されたパスワードを保存できるプラグインをいれてみてみると、試行されるパスワードは一般的なブルートフォースで使われる辞書と同じで特別なものではない感じ。

頻度的にはだいたい１秒に一回。

同一の中国のIPアドレスから同時に複数箇所のサーバーへの攻撃を観測しています。

ネットに公開することが目的のサーバーなわけで、この手の攻撃はかならずキてしまうことはさけられません。

ただ、wordpressを利用しているといっても、ホスティングサービスを利用してる場合、自前でサーバー運用までしている場合などいろいろなパターンがあり、どのレベルまで自分でコントロールできるかが異なるのでできる対策は限られますが、

最低限は、

• admin等のデフォルトのアカウントは試用しない。設定が残っている場合は削除する
• 推測されにくいID/Passwordの設定

• ログイン履歴や同時ログイン情報などのアカウンティング情報を記録したり警告してくれるプラグインの導入

さらに強化するには

• 二段階認証の導入（プラグイン）
• 連続ログイン試行の制限（プラグイン、WAF、IDS等）

もっと強化（管理アクセスのsource IPが固定できる場合なので一般ユーザーさんには難しい）

• 管理画面への特定IPからのみのアクセス許容（apacheの設定、WAF的な装置）

基本は二段階認証やID/password以外のもう１，２つの要素を加えた認証なんだろうとは思います。単純なブルートフォースには耐えられますし、完璧というわけではないですが、情報流出してもそのまますぐにアカウントが乗っ取られるということにはならないかなぁと。

サービス提供側も、セキュリティ装置を導入、セキュリティオプションの提供も必要だとは思いますが、企業ならまだしも、個人利用ではよほどの問題がおこならない限り、たとえ問題があったとしてもそういう機能を使わない利用者は多い（知らない、使い方がわからないも含め）わけで、だから攻撃は続くというわけで。。。それがネットの日常というわけで。。。

すぐそばに危険があることを認識して対策しましょうと。

[カテゴリ:もろもろ]

by jyake