image

Slordige webmasters laten duizenden blogs hacken

vrijdag 18 mei 2012, 11:50 door Redactie, 10 reacties

De afgelopen weken zijn duizenden Wordpress blogs en Joomla-sites gehackt en gebruikt voor het hosten van dubieuze webwinkels. De aanvallers weten volgens beveiligingsonderzoeker Denis Sinegubko het wachtwoord van de Wordpress administrator te brute-forcen. Hebben de aanvallers toegang, dan wordt er op de administrator interface ingelogd en een webshell in een bestaande plug-in geïnjecteerd. Vervolgens wordt een subdirectory op de webserver aangemaakt waar een nieuw blog wordt aangemaakt. Deze blogs fungeren als een 'doorgeefluik' en promoten een webwinkel van de spammers.

Sinegubko ontdekte 3.000 gehackte websites met unieke domeinnamen, waar gemiddeld één tot vier spamblogs op waren geïnstalleerd. Elk blog bevat weer 200 tot 500 postings, met eigen combinaties van sleutelwoorden voor producten als afslankpillen en luxe accessoires. Ook worden op gehackte Wordpress installaties phishingsites gehost.

Advies
De onderzoeker adviseert webmasters om sterkere wachtwoorden te gebruiken en geen standaard namen zoals admin voor de applicatie administrator te kiezen. "Je website, hoe groot of klein die ook is, is een waardevol middel voor cybercriminelen." Daarnaast moeten webmasters ook nauwlettend nieuw aangemaakte mappen op de webserver controleren, iets wat nu ook nauwelijks zou gebeuren.

Reacties (10)
18-05-2012, 12:45 door MarcelvanderHorst
"De onderzoeker adviseert webmasters om sterkere wachtwoorden te gebruiken."

Dat verlengt enkel de tijd van de brute-force aanval, beter is om het aantal inlogpogingen per X tijd vast te stellen gevolgd door een (tijdelijke) IP blokkade.
18-05-2012, 13:00 door Anoniem
Pff, net even mijn wachtwoord veranderd van admin naar admin01.
Veiligheid voor alles natuurlijk.
18-05-2012, 15:33 door regenpijp
@ MarcelvanderHorst

het brute-forcen over een netwerk gaat een heel stuk langzamer en op een bepaald moment trekt de server ook 100%, het is niet net zoals hashes die met een paar miljard wachtwoorden p/s kunnen worden gekraakt.

Een wachtwoord als: D1t1sH3T.wachtw00rdvoormijn_perSo0nlijke-BLOG# is niet te raden en toch makkelijker te onthouden dan een random string van 12 tekens.

Nu is het blokkeren van een IP-adres naar een x-aantal loginpogingen wel een redelijke gedeeltelijke oplossing.
18-05-2012, 18:52 door Anoniem
@Anoniem 13:00 Humor ;-)
18-05-2012, 21:51 door yobi
Er is ook net een exploit gelanceerd om voor Wordpress 3.3.1 een extra admin bij te maken. Zie http://www.exploit-db.com/exploits/18791/
19-05-2012, 20:54 door [Account Verwijderd]
[Verwijderd]
19-05-2012, 22:21 door MarcelvanderHorst
Door Bergen: Een mogelijk wachtwoord zou zijn: "a3M4s". Met een lengte van 5 karakters heb je bijna 1 miljard combinaties.
Met een moderne CPU zijn circa 2.8 miljard combinaties per seconde te genereren. Je hebt volledig gelijk wat betreft langere wachtwoorden, maar max 3 inlogpogingen voelt voor mij extra veilig (los van het feit dat ik een lang wachtwoord gebruik natuurlijk).
19-05-2012, 22:58 door Anoniem
Door MarcelvanderHorst:
Met een moderne CPU zijn circa 2.8 miljard combinaties per seconde te genereren. Je hebt volledig gelijk wat betreft langere wachtwoorden, maar max 3 inlogpogingen voelt voor mij extra veilig (los van het feit dat ik een lang wachtwoord gebruik natuurlijk).

Ik wil wel even zien hoe jij 2.8 miljard inlogpogingen per seconde op een blog doet. Da's iets in de orde van 5-6 Tbit/s en dat ga je niet snel halen. De snelheid van een CPU is alleen leuk als je al een hash hebt. Daar kun je misschien wel bij komen na je eerste succesvolle bruteforce, maar als die eerste een paar eeuwen kost schiet het niet op.
20-05-2012, 00:44 door Anoniem__
Door MarcelvanderHorst:
Door Bergen: Een mogelijk wachtwoord zou zijn: "a3M4s". Met een lengte van 5 karakters heb je bijna 1 miljard combinaties.
Met een moderne CPU zijn circa 2.8 miljard combinaties per seconde te genereren. Je hebt volledig gelijk wat betreft langere wachtwoorden, maar max 3 inlogpogingen voelt voor mij extra veilig (los van het feit dat ik een lang wachtwoord gebruik natuurlijk).
Je kan natuurlijk nooit met 2,8 miljard pogingen per seconde over http authenticatie pogingen doen, de vhost gaat bij de meeste blogs al bij 100+ per seconde door z'n hoeven.
Ik zie ook meer heil in fail2ban etc. maar onderschat ook sterke wachtwoorden niet. Ik laat keepass wat verzinnen en zet op de keepass database een leuke passphrase. Denk aan de "correct horse battery staple" comic van xkcd (https://xkcd.com/936/)
Daarnaast kan het natuurlijk ook geen kwaad om http authenticatie (.htacess etc.) toe te passen op alles wat normale gebruikers niet hoeven te benaderen, twee barrières zijn tenslotte meer dan één en het stopt wellicht een SQLi exploit.
20-05-2012, 11:48 door Anoniem
Waarom, als je dan toch iets gebruikt wat lange frases net zo makkelijk bewaart als korte, geen lange passphrases voor websites? Juist daar heb je relatief weinig controle over wat er met je password-hash gebeurt, en juist daar valt de winst te halen met hashes die idioot lastig te bruteforcen zijn.

Bedenk dat 'correct horse battery staple' 3.90 x 10^49 pogingen vereist, en 'shah9Mie*to!aGha' maar 4.45 x 10^31. Da's een triljoen maal meer werk. (Europese triljoen, Amerikanen zouden het een quintillion noemen..)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.