Ataki na WordPress, SQL Injection, spam przez formularze, próby odgadnięcia haseł typu brute force – to najczęstsze ataki, jakie są dokonywane na polskie strony internetowe. Atakujący nasze strony boty pochodzą przede wszystkim z Finlandii, Francji, Ukrainy oraz Rosji – takie wyniki przyniosło badanie sposobów i źródeł ataków w polskim internecie, które zostało przeprowadzone w pierwszym półroczu br. przez grupę hostingową H88.
Badanie zrealizowane przez H88 polegało na umieszczeniu skryptów zliczających i blokujących podejrzane żądania. Skrypty zostały umieszczone na stronach marek hostingowych należących do grupy H88, w tym Linuxpl.com, Hekko.pl, H88.pl, wybranych blogach i systemach. Trzeba przy tym pamiętać, że każda strona będzie mieć własny „profil ataków”, który może być inny – większość typów ataków powinna się jednak pokrywać. W ciągu pierwszej połowy 2019 roku zarejestrowano 101121 adresów IP, z których doszło do 114711 zanotowanych incydentów. Na tej podstawie określono źródła i najczęstsze sposoby ataków.
Atakują głównie z zagranicy
Najwięcej problematycznego ruchu przyszło niespodziewanie z Finlandii. Była to niemal połowa żądań. Na kolejnych miejscach znalazły się Francja, Ukraina, Rosja, Kanada oraz Chiny. Dopiero na siódmym miejscu są wewnętrzne ataki wykonywane z Polski, a następnie kolejno z USA, Irlandii i Włoch.
Dominują ataki na WordPress i SQL Injection
W badaniu najwięcej zarejestrowano prób dotarcia do pliku odpowiedzialnego za XML-RPC w systemie CMS WordPress. To mechanizm zdalnego wywoływania procedur, który – jeśli wykorzysta się go niewłaściwie – potrafi bardzo szybko i efektywnie „popsuć” stronę.
„Mechanizm ten jest rzadko potrzebny na stronach. Tam, gdzie zainstalowaliśmy nasz monitoring zagrożeń, był on wyłączony. Mimo to roboty uparcie o niego odpytywały, co traktowaliśmy jako szukanie podatności. Zarejestrowaliśmy ponad 133 tys. takich prób ataków. Interesującą kategorią ataków było też szukanie podatności w pluginach i to nawet, jeśli strona w ogóle nie działała w oparciu o WordPress`a. To tylko pokazuje, jak istotnym jest, żeby stosować aktualne wersje wtyczek i szablonów” – mówi Artur Pajkert z Linuxpl.com.
Drugim co do powszechności zagrożeniem okazał się atak SQL Injection. H88 zarejestrował prawie 11 tysięcy prób ataków tą metodą. Polega ona na spreparowaniu informacji w taki sposób, aby aplikacja wykonywała polecenia bazodanowe, którego nie przewidział autor aplikacji. W ten sposób atakujący zamiast np. zapisać się na newsletter, może próbować otrzymać listę wszystkich zapisanych osób, do czego nie powinien być uprawniony.
Artur Pajkert tłumaczy to w ten sposób, że dojrzałe aplikacje powinny być zabezpieczone przed takimi atakami. Jednak zdarza się, że nawet do dojrzałego systemu, np. WordPress`a, ktoś zainstaluje mniej dojrzałą wtyczkę lub motyw – wówczas kłopot gotowy.
Zalewa nas spam
Kolejną jedną z bardziej popularnych form ataków na polskie strony internetowe jest „flood fill”. Ten rodzaj ataków zdefiniowano jako próbę zalania formularza na stronie (np. kontaktowego, do komentowania wpisów na blogu, do zakładania usług) masowymi wpisami o charakterze spamerskim. Jak tłumaczy ekspert z Linuxpl.com – może to powodować wykorzystanie limitów serwera oraz sparaliżowanie pracy osób obsługujących takie zgłoszenia, czy radykalne obniżenie atrakcyjności strony w oczach zwykłych użytkowników.
Odmianą tego typu ataku jest masowe wysyłanie do strony żądań zawierających wpisy, które mają skłonić do kliknięcia w określony link – czy to człowieka, czy też robota Google. Pojawiać się mogą one jako recenzje produktów, zgłoszenia serwisowe, komentarze pod wpisami itp.
Ataki na wordpress i co jeszcze
Do innych zarejestrowanych zagrożeń należały także: Brute Force, AFD (Arbitrary File Download), System Words oraz XSS (Cross-Site-Scripting). Atak typu Brute Force polega na próbie „odgadnięcia” hasła do serwisu przez sprawdzenie wszystkich możliwych kombinacji. Z kolei atak AFD wykorzystuje lukę związaną z brakiem filtrowania zmiennej obsługującej pobieranie plików lub nadmierne uprawnienia w niewłaściwie skonfigurowanym serwerze – takie, które powodują pobranie dowolnego pliku.
System Words to atak znany szerzej jako „path traversal” – czyli skanowanie podatności serwera na dostęp do plików systemowych przez wychodzenie do wyższego poziomu ścieżek systemowych. Atakujący robi to wszystko z nadzieją, że natrafi na ścieżkę umożliwiającą odczyt ważnego pliku, np. zawierającego informacje o nazwach użytkowników i hasłach.
Atak XSS sprowadza się natomiast, najogólniej mówiąc, do osadzenia w treści atakowanej strony kodu, który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji. Dzieje się to przez przemycenie takiego kodu na przykład w polu formularza, gdzie zamiast imienia podajemy skrypt, który ma się wykonać, kiedy wprowadzone imię miało być wyświetlone w przeglądarce.
Foto tytułowe: Mężczyzna zdjęcie utworzone przez standret – pl.freepik.com