Как я уже сообщал два дня назад, сайты на CMS Wordpress подверглись массированной атаке со стороны хакерской группировки. Зарубежные издания предполагают, что хакерская группировка представлена в лице одного человека, завладевшего целой сетью зараженных сайтов и серверов, используя их как ботнет. Этот ботнет продолжает атаковать все новые и новые сайты, вовлекая их в свою сеть. Целью атаки стали и сайты, которые я администрирую.

Благодаря информации от специалистов по информационной безопасности компании Defiant, мне удалось однозначно идентифицировать атаку на сайты в моем администрировании с упоминаемым выше ботнетом. Вот что пишет Ram Gall из Defiant в своем блоге 13 мая:

“Наши журналы показывают, что злоумышленник наращивал объем атаки, выдерживал атаку в течение  нескольких дней, а затем уменьшал объем до минимума. Каждый из этих всплесков постепенно увеличивался в объеме, поскольку атакующий становится все более агрессивным. Самые ранние атаки, отслеживаемые нами, произошли 9 и 10 февраля 2020 года и были направлены на более 200 000 сайтов с 3,8 миллионами запросов. 14 и 15 марта 2020 г. количество атак возросло и охватило более 500 000 сайтов с более чем 7 миллионами запросов. По нашим наблюдениям, произошло удвоение объема атак и количества сайтов, с февраля по март 2020 года. За последние 30 дней было 4 атаки увеличивающегося размера, нацеленные на более чем 1,3 миллиона сайтов.
Есть несколько изменений, которые указывают на то, что атакующий совершенствует свою технику. Они исправили ошибку в предыдущей версии своего бэкдора PHP, из-за которой его нельзя было использовать на большинстве сайтов. Они также добавили два дополнительных варианта бэкдора, один из которых похож на бэкдор, использовавшийся в предыдущей атакующей кампании.

Наличие следующих доменов в базе данных или файловой системе следует рассматривать как признак заражения вашего сайта:

digestcolect[тчк]com
trackstatisticsss[тчк]com
stivenfernando[тчк]com
collectfasttracks[тчк]com
destinyfernandi[тчк]com

Далее автор рекомендует обновить любые устаревшие плагины или темы и использовать для защиты сайта плагин, разработанный их компанией…”

Анализируя логи доступа к одному из администрируемых сайтов за май я смог выделить некоторые особенности хакерской атаки. Так как журналы содержат сотни тысяч записей в зависимости от объема сайта и количества аудитории, анализ журнала обращений к сайту становится нетривиальной задачей. Однако, используя регулярные выражения в Notepad++, мне удалось уменьшить объем лога за 14 дней мая до читаемых размеров в несколько тысяч записей. Это были зарегистрированные обращения атакующих ботнетов к сайту Yakto.Ru.

С самого начала мая злоумышленник, используя свою сеть ботнетов и проксируя IP-адреса, сделал около 1200 запросов, направленных на эксплуатацию известных уязвимостей, а также 11 000 запросов к файлам wp-login.php и  xmlrpc.php с целью подбора пароля (брутфорс-атака). Одну из самых агрессивных брутфорс-атак я заметил 12 мая по избыточной нагрузке на сервер.

Моим решением было закрыть доступ к файлам wp-login.php, xmlrpc.php, и полностью к админке Wordpress, для всех посторонних IP с помощью директив .htaccess. Это остановило агрессивный bruteforce-attack, однако запросы к файлам продолжались, что говорит об автоматическом режиме работы скриптов атакующего. Не получая в ответ код состояния 200, атакующий переходит в режим ожидания и через некоторое время снова пытается получить доступ к файлам админки и RPC.

Однако вернемся к тому, как распознать в огромном числе записей серверных логов, тревожные сигналы. Во-первых, это множественные запросы к несуществующим файлам с одного IP, множественные POST-запросы к  wp-login.php, xmlrpc.php.

Во-вторых, брутфорс-атака начинается как правило с проверки:

такой

62.210.177.42 - - […2020:21:23:01] "GET /wp-includes/wlwmanifest.xml HTTP/1.0" 200 "Mozilla/5.0"

такой

218.21.32.98 - - […2020:08:30:43] "GET /?author=1 HTTP/1.0" 200   "Mozilla/5.0"
218.21.32.98 - - […2020:08:30:47] "GET /?author=2 HTTP/1.0" 200   "Mozilla/5.0"
218.21.32.98 - - […2020:08:30:52] "GET /?author=3 HTTP/1.0" 200   "Mozilla/5.0" …

или такой

52.138.3.22 - - […2020:12:24:05] "GET /?author=1 HTTP/1.0"  200 "Mozilla/5.0"
52.138.3.22 - - […2020:12:24:06] "GET /wp-json/wp/v2/users/ HTTP/1.0" 404  "Mozilla/5.0"
52.138.3.22 - - […2020:12:24:06] "GET /wp-json/oembed/1.0/embed?url= HTTP/1.0" 404 "Mozilla/5.0"

и запросы повторяются неоднократно. А для проверки типа CMS-движка, атакующий использует множественные запросы к файлу wlwmanifest.xml  такого вида:

137.117.80.211 - - "GET /shop/wp-includes/wlwmanifest.xml HTTP/1.0" 404 23556 "-" "Mozilla/5.0"
137.117.80.211 - - "GET /wp1/wp-includes/wlwmanifest.xml HTTP/1.0" 404 23555 "-" "Mozilla/5.0"
137.117.80.211 - -  "GET /test/wp-includes/wlwmanifest.xml HTTP/1.0" 404 23556 "-" "Mozilla/5.0"
137.117.80.211 - - "GET /media/wp-includes/wlwmanifest.xml HTTP/1.0" 404 23556 "-" "Mozilla/5.0"
137.117.80.211 - - "GET /wp2/wp-includes/wlwmanifest.xml HTTP/1.0" 404 23556 "-" "Mozilla/5.0"
137.117.80.211 - -  "GET /site/wp-includes/wlwmanifest.xml HTTP/1.0" 404 23556 "-" "Mozilla/5.0"
137.117.80.211 - - "GET /cms/wp-includes/wlwmanifest.xml HTTP/1.0" 404 23556 "-" "Mozilla/5.0"
137.117.80.211 - - "GET /sito/wp-includes/wlwmanifest.xml HTTP/1.0" 404 23556 "-" "Mozilla/5.0"

что не ускользнет от внимания бдительного наблюдателя.

Ну и третье, о чем говорил представитель Defiant – наличие в запросе доменных имен, приведенных выше, с которых поставляются зловредные скрипты для новых пациентов. В моем случае, это был XSS-запрос, содержащий домен trackstatisticsss.

Так что, будьте бдительны – атака ботнета в самом разгаре!

Чуть позже представлю список IP-адресов, с которых производятся атаки.