مدونات WordPress تتعرض لهجمات BF موزّعة
نُشر يوم 3 ديسمبر 2009 بواسطة Xacker
تم الاستحواذ على سكربت PHP لدى مستخدم في سيرفر VPS يستخدمه للقيام بمحاولات كسر كلمات سر مدراء مدونات WordPress من خلال هجمات Brute-Force موزّعة مخالفاً بهذا TOS السيرفر، كما يظهر في الصورة التالية:
يستخدم التابع wp_brute_attempt() ثلاث بارامترات، $ch الذي يأخذ كتلة cURL، والبارامترين الآخرين يحددان الموقع المراد مهاجمته وكلمة السر التي سيتم تجريبها. إن نجح السكربت في محاولته لكسر كلمة السر، فالصفحة التي ستظهر ستحوي على كلمة “Log Out” وهي الطريقة التي يستخدمها السكربت لتحديد النجاح من الفشل، وعندها يتم إعادة القيمة true.
المثير للاهتمام في هذا السكربت أنه يسمح بهجوم موزّع distributed attack. المعلومات يتم حفظها في قاعدة بيانات mySQL والتي يتصل بها السكربت بشكل مباشر، مما يسمح للمهاجم بتشغيل نسخ متعددة من السكربت ليشكل هجمات موزعة. كل سكربت يأخذ 200 عنوان مدونة ويتم تحديدهم باسم السكربت المسؤول عن معالجتهم، يتم هذا من خلال الوسيط $colo
بعدها يقوم السكربت بأخذ كل كلمة سر موجودة ضمن ملف لكلمات السر ويقوم بتجريبها على كل موقع. حتى أنه بالإمكان إيقافه ومن ثم إعادة تشغيله في وقت لاحق وسيقوم بمتابعة عمله من حيث انتهى :)
ننصح انطلاقاً من هذه التدوينة جميع من يملك مدونة WP أن يضمن أن يكون الوصول إلى صفحة المدير محدود قدر الإمكان، ابتداء من استخدام كلمة سر قوية وانتهاء بإنشاء مستخدمين بسماحيات معينة للكتابة فيها (حتى لصاحب المدونة نفسه) وترك حساب المدير فقط للإدارة بحيث يبقى اسم المستخدم مجهولاً لمن يحاول مهاجمة المدونة.
هناك بعض النصائح الأخرى التي مررت بها خلال البحث أكثر في الموضوع، أقتبس منها ما أشعر بأنه ضروري وملح:
* استخدام إضافة Login LockDown والتي تقوم بتسجيل IP من قام بتجربة محاولة فاشلة، و تاريخ ووقت محاولة الدخول، ومن ثم بعد بضع محاولات فاشلة (3 محاولات فاشلة خلال 5 دقائق) تقوم بشكل تلقائي بمنع مجال هذا الـ IP من تسجيل الدخول (الزمن الافتراضي 1 ساعة ويمكن التعديل عليه من خيارات لوحة التحكم الخاصة بها)، ويمكن لمدير المدونة أن يقوم بتحرير القفل على هذا المجال بشكل يدوي متى أرادو من لوحة التحكم. يمكن الحصول عليها من الرابط، [هنــــــا](http://wordpress.org/extend/plugins/login-lockdown/)
* مجلد wp-content يحوي على مجلد plug-ins والذي بمحاولة الوصول إليه يعرض قائمة بالـ plug-ins المستخدمة في الموقع، هذا الأمر قد يعطي المهاجم فرصة الحصول على معلومات أكبر عن ما يتم استخدامه في موقعك، ينصح بوضع صفحة HTML فارغة في هذا المجلد لعرضها بدلاً من السماح بعرض صفحة WP الافتراضية. يمكنك أيضاً استخدام ملف .htaccess
* [بعض النصائح الأخرى](http://blogsecurity.net/wordpress/article-210607).
هذا الأمر لا يتوقف فقط على WP، فهجمات BF على مثل هذه الخدمات كانت في الساحة منذ بعض الوقت (على سبيل المثال الهجمات على خدمات SSH والتي تتلقى جهة SANS يومياً بلاغات عنها).
المصدر: