cNotes 検索 一覧 カテゴリ

Wordpressへのブルートフォースアタック 7

Published: 2014/04/28

4月に入りブルートフォースのパワーが若干上がってきました。

手法に変化はないですが、ユーザー名を探って狙い撃つ、ホスト名もしくはドメインの一部をユーザー名にするもの、「admin」ユーザー狙い、その他意味不明な文字列をusernameにするものなど。

去年の8月以降の一日あたりの攻撃頻度の推移はこのようになります。

2月末に非常に多くの攻撃を観測しましたが、その後4月に入って一日数千回の日が何度か観測されました。

全期間のソースIPの国別集計はこうなります。

時期により攻撃元ととなる国に違いがあり2014/02はアメリカとフランスからまったく同じタイミングで同一回数を観測していて、この二カ国のサーバーを同時に利用した攻撃だったようです。全体では3カ国のIPからしか攻撃を検出していませんでした。

2014/04はアメリカ、タイが圧倒的に多く全体では74カ国のIPを観測しています。

脆弱性を狙うとかではなく単純なブルートフォースです。試行されるパスワードはシステム構築の初期段階や新規アカウント作成時の初期パスワードとして機械的に設定しがちな単純な単語やキーボード配列のパターンを利用したもののバリエーションですので、そういった運用前システムや仮パスワード的なものにも「ちゃんと複雑な」パスワードを設定しておけばとりあえず問題はなさそうです。

sshアカウントへのブルートフォースでもこういったシステム構築途中や仮パスワードを簡単なものにしておいたサーバーがよく乗っ取られてますので気をつけましょう。

[カテゴリ:Webサーバー観察日記]

by jyake