وب‌سایت‌های وردپرس هدف حمله هستند

وب‌سایت‌های وردپرس هدف حمله هستند

تاریخ ایجاد

به گزارش وردفنس 1.3میلیون وب‌سایت وردپرس توسط یک کمپین مورد حمله قرار گرفته‌اند. مهاجمان این کمپین سعی دارند با دانلود کردن فایل پیکربندی wp-config.php، نام کاربری و گذرواژه وب‌سایت‌ها را سرقت کنند.از 29 تا 31 ماه می سال جاری، دیوار آتش وردفنس 130 میلیون حمله روی وب‌سایت‌های وردپرس را شناسایی و مسدود کرده است. این حملات 1.3 میلیون وب‌سایت را هدف گرفته بودند. کاربران نسخه پرمیوم و نسخه رایگان وردفنس در برابر این حمله مصون هستند.در این مدت حملات دیگری نیز روی ‫آسیب‌پذیری‌های افزونه‌ها و تم‌های وردپرس صورت گرفته و حملات این کمپین 75 درصد کل چنین حملاتی را تشکیل می‌دادند. مهاجمانی که این کمپین را اداره می‌کنند، در اواخر ماه آوریل نیز در کمپین دیگری به دنبال سوء استفاده از آسیب‌پذیری‌های XSS وردپرس بودند.
 

wordpress

در کمپین قبلی، از 20 هزار IP مختلف برای حمله استفاده می‌شد و در کمپین جدید نیز اکثر حملات با استفاده از همین IPها صورت گرفته‌اند. در حملات اخیر، یک میلیون وب‌سایت جدید نیز مورد هجوم واقع شده‌اند که جزء اهداف کمپین قبلی نبوده‌اند.
در هر دو کمپین، تقریباً تمام حملات، از آسیب‌پذیری‌های قدیمی استفاده می‌کردند که در افزونه‌ها یا تم‌های به‌روز نشده وردپرس وجود دارند. این آسیب‌پذیری‌ها امکان export یا دانلود کردن فایل‌ها را فراهم می‌کنند. در کمپین جدید مهاجمان قصد دانلود فایل wp-config.php را داشتند. این فایل حاوی گذرواژه و اطلاعات اتصال به پایگاه داده است و همچنین شامل کلیدهای یکتا و saltهای احراز هویت است. اگر مهاجمی به این فایل دسترسی پیدا کند می‌تواند به پایگاه داده وب‌سایت که شامل محتویات وب‌سایت و مشخصات کاربران آن است، دست یابد.
به نظر می‌رسد مهاجمین به طور سیستماتیک کدهای بهره‌برداری را از وب‌سایت exploit-db.com و سایر منابع استخراج و آنها را روی لیستی از وب‌سایت‌ها اجرا می‌کنند. در حال حاضر مهاجمین مشغول استفاده از صدها آسیب‌پذیری هستند، اما آسیب‌پذیری‌های CVE-2014-9734، CVE-2015-9406، CVE-2015-5468 و CVE-2019-9618 جزء موارد با بیشترین استفاده بوده‌اند.
اگر وب‌سایت شما مورد حمله واقع شده باشد، می‌توانید اثرات آن را در فایل لاگ سرور خود مشاهده کنید. در فایل لاگ به دنبال مدخل‌هایی بگردید که قسمت query آنها شامل wp-config بوده و پاسخ آنها کد 200 است. 10 آدرسی که بیشترین حملات از آنها صورت گرفته عبارت اند از:

  • 200.25.60.53
  • 51.255.79.47
  • 194.60.254.42
  • 31.131.251.113
  • 194.58.123.231
  • 107.170.19.251
  • 188.165.195.184
  • 151.80.22.75
  • 192.254.68.134
  • 93.190.140.8

وب‌سایت‌هایی که از وردفنس استفاده می‌کنند در برابر این حملات مصون هستند. اگر از کاربران وردفنس نیستید و احتمال می‌دهید مورد حمله واقع شده باشید، گذرواژه پایگاه داده، کلیدها و saltهای احراز هویت را تغییر دهید. برای ایجاد این تغییرات ممکن است نیاز باشد تا با هاستینگ وب‌سایت خود تماس بگیرید. در ضمن برای جلوگیری از حملات، همه افزونه‌ها و تم‌های وردپرس را به‌روز نگه دارید.
اگر سرور شما طوری پیکربندی شده است که اجازه دسترسی از راه دور را به پایگاه داده می‌دهد، مهاجم با داشتن گذرواژه پایگاه داده می‌تواند به راحتی کاربر مدیر جدید اضافه کند، داده‌های حساس را سرقت کند یا کل وب‌سایت را پاک کند. در صورتی که امکان دسترسی از راه دور به پایگاه داده فراهم نباشد نیز، ممکن است مهاجم با داشتن کلیدها و saltهای احراز هویت بتواند سایر مکانیزم‌های امنیتی را دور بزند.

https://www.wordfence.com/blog/2020/06/large-scale-attack-campaign-targets-database-credentials
https://threatpost.com/attackers-target-1m-wordpress-sites-to-harvest-database-credentials/156255

برچسب‌ها
اخبار
هشدارها و راهنمایی امنیتی
  • 34