Брутфорс атака на админки Joomla сайтов 1 августа 2013 года

Категория: Безопасность сайта на Joomla - .

Брутфорс атака на админки Joomla сайтов 1 августа 2013 года

Доброго времени суток, уважаемые владельцы сайтов на Joomla! Как понятно из заголовка данной статьи, я расскажу о недавно начавшейся очень мощной брутфорс (brute force) атаке, во время которой идет перебор паролей для админок сайтов на Joomla и Wordpress (на многих форумах я встречал информацию о том, что атаки так же были и на другие популярные движки типа DLE, Битрикс и другие, но эта информация не была никем официально подтверждена).

Всё началось с того, что 1 августа 2013 года у многих пользователей начали сначала сильно тормозить сайты, а вскоре и вовсе отключились, ввиду огромной нагрузки на сервер, вызванной множественными подборами паролей. На всех популярных форумах десятками стали появляться темы о том, что у людей взламывают сайты или они просто переставали работать. При этом тех поддержка многих хостинговых компаний не отвечала - как выяснилось позже, они были очень загружены тысячами поступавших сообщений о неработоспособности сайтов, поэтому не смогли ответить всем вовремя.

Ботнет

Данное явление называется именно так - БОТНЕТ! Когда заражают Ваш компьютер или сайт, он  то же присоединяется к атаке независимо от Вас. Вы даже можете и не узнать о том, что были взломаны, пока у Вас не начнутся проблемы с сайтами или компьютером.

В принципе, ботнет используют не только для брутфорс атаки по перебору паролей. Его могут использовать, например, для рассылки поискового спама или получения удаленного доступа к другому компьютеру (короче говоря - взлома). Более подробно я не буду расписывать об этих явлениях, так как Вы можете прочитать это в википедии, а я лучше расскажу, как с этим бороться.

Что делают хостеры при брутфорс атаке?

Когда начались атаки и начали тормозить и отключаться сайты, первое сообщение, которое я получил от своего хостера, было:

Уважаемые клиенты!

Уведомляем Вас о том, что в настоящее время, на сайты, созданные на основе CMS Joomla и Wordpress, производится brute force атака, подразумевающая перебор паролей к административным панелям данных CMS.

В связи с высокой активностью атаки и резким ростом нагрузки на сервера, средствами сетевого фильтра физического сервера было установлено ограничение на доступ ко всем URL адресам, включающим в свой состав «/wp-login.php» и «/administrator/index.php».

Данная мера является временной. Об окончании атаки и снятии ограничений мы обязательно уведомим Вас дополнительно.

Как видно из письма, хостеры блокируют доступ в админ панели сайтов Joomla и WordPress, что позволяет полностью убрать нагрузку с сайтов и вернуть их работоспособность. Однако, админка осталась нерабочей.

Что нужно сделать для защиты админки Joomla от брутфорс атаки?

1. Защита с помощью файла .htaccess

Итак, если хостинг уже заблокировал Вам доступ в админ панель сайтов, то не стоит отчаиваться, так как Вы можете вернуть себе его, прописав кое-что в файле .htaccess. Кроме того, этот способ работает и сам по себе, без блокировки хостингом. А теперь по порядку:

  1. Заходите по FTP на свой сервер;
  2. Создаете файл .htaccess;
  3. В файле .htaccess нужно прописать вот этот код:

    Order Deny,Allow
    Deny from all
    Allow from IP #Вместо IP укажите Ваш внешний IP адрес.

  4. Залить данный файл в папку "Administrator" нужного Вам сайта. Главное, не забудьте прописать свой IP адрес.
  5. Все! Теперь Вы имеете доступ в административную панель своего сайта и можете продолжать над ним работу.

2. Защита админки с помощью файлов: .htaccess и .htpasswd

Этот способ реализует так называемый "Двойной доступ" в админку. Более подробно в этой статье - Используем файл .htaccess для защиты сайта. Скрываем доступ к админке Joomla и убираем просмотр модулей через ?tp=1.

3. Установка сложного пароля и смена логина "admin"

Самое первое, что нужно сделать - это сменить логин "admin" на более сложный. Кроме этого, обязательно поставьте сложный пароль, чтобы программа не смогла его подобрать, даже если и получила доступ к админ панели.

4. Своевременная очистка файла логов на сервере

Дело в том, что если программа имеет доступ к Вашей админке, то простым перебором паролей она может забить файл логов буквально за несколько минут! Однажды я проморгал брутфорс атаку на один свой сайт и заметил проблему только тогда, когда сайт перестал работать. Я пошел смотреть логи и обнаружил, что файл логов для этого сайта весит целых 20ГБ!!! После очистки логов, сайт, естественно, заработал.

Так вот, для того, чтобы этого не происходило, Вам нужно поставить на данный файл ограничение, например, в 100 мегабайт. Это можно сделать в панели управления сервера (я использую ISP менеджер в работе) или написать с данной просьбой своему хостеру.

5. Использование компонента Brute Force Stop

Для Joomla сайтов есть специальный компонент, который автоматически определяет брутфорс атаку. Смысл его работы заключается в том, что он блокирует IP адрес при достижении определенного количества неудачных попыток входа в админку. Этот компонент сохраняет все данные в журнале, который Вы сами можете редактировать, например, удалить из его базы нужные IP адреса или добавить новые. Кроме того, Вы можете просмотреть все неудачные попытки входа в админку.

Когда закончится эта атака?

Теоретически, ботнет атака может никогда не кончиться, так как с каждым днем заражается все больше и больше компьютеров, которые присоединяются к общей атаке. Но в реальности я думаю, что это должно скоро завершиться при слаженных действиях хостеров и антивирусных компаний.

Я задал своему хостеру данный вопрос (напоминаю, что у меня сервер от REG.ru) и он ответил, что по завершении атаки будет произведена рассылка о том, что админки сайтов снова откроют и можно спокойно продолжать работу над своими сайтами. На момент написания статьи (а это 9 августа 2013 года) атака ещё идет..

Если Вам интересно узнать, чем же закончится борьба с брутфорс атакой на админки Joomla, то подпишитесь на рассылку с блога Joofaq.ru.

Комментарии  

#6 Василий 23.09.2014 12:14
В коде написано указать внешний IP. Внешний IP Чего? Компьютера или сайта. Объясните,может я чего то не понимаю.
Цитировать
#5 Администратор 18.04.2014 22:13
Цитирую Марина:
IP да, одинаковый.

А если нажать на кнопку выйти из аккаунта (на втором компе), то он выходит?
Цитировать
#4 Марина 18.04.2014 18:34
Цитирую Администратор:

А если нажать на кнопку выйти из аккаунта (на втором компе), то он выходит?

Не додумалась попробовать, честно говоря. Просто удалила файл и поставила пароль на папку administrator в панели управления на хостинге.
Цитировать
#3 Марина 18.04.2014 11:41
Цитирую Администратор:

Честно сказать, я даже не представляю себе, как такое возможно. Вы уверены, что указали именно этот код?

В том-то и дело, что уверена - я его скопировала и аккуратно вставила в текстовый документ, документ в папку через FileZilla.

Цитата:
Думаю, что в Вашем случае нужно обратиться в тех поддержку хостинга. Возможно ошибка на стороне сервера.
Так и сделаю, потому что попытки что-то изменить в имеющемся файле htassess привели к тому же результату. Может, запрет поставлен у них.
Цитата:
Так же может быть, что Вы уже вводили на этих компах логин и пароль в админку Joomla и система их запомнила. А IP адрес у этих компов одинаковый?
В своем вводила, конечно, во втором нет, и потом я в первую очередь кеш почистила, не помогло. IP да, одинаковый.
Цитировать
#2 Администратор 18.04.2014 10:38
Цитирую Марина:
Попытка вставить в папку "Администратор" файл htaccess с кодом запрета для всех IP, кроме моего, привела к открытию админ. панели без запроса пароля не только на моем компе, но и на чужом. Можете подсказать, в чем причина такой пугающей реакции: вместо защиты полная открытость?
P. S. SMS Joomla! 3

Честно сказать, я даже не представляю себе, как такое возможно. Вы уверены, что указали именно этот код?

Думаю, что в Вашем случае нужно обратиться в тех поддержку хостинга. Возможно ошибка на стороне сервера.

Так же может быть, что Вы уже вводили на этих компах логин и пароль в админку Joomla и система их запомнила. А IP адрес у этих компов одинаковый?
Цитировать
#1 Марина 11.04.2014 21:12
Попытка вставить в папку "Администратор" файл htaccess с кодом запрета для всех IP, кроме моего, привела к открытию админ. панели без запроса пароля не только на моем компе, но и на чужом. Можете подсказать, в чем причина такой пугающей реакции: вместо защиты полная открытость?
P. S. SMS Joomla! 3
Цитировать

Добавить комментарий


Защитный код
Обновить