Вопрос или проблема
В последние несколько недель я наблюдаю резкий скачок подозрительного трафика с IP-адресов, принадлежащих серверам Microsoft в Ирландии. Эти доступы блокируются из-за попыток получить доступ к конкретным, часто несуществующим, PHP-файлам и путям на моем сайте на базе WordPress.
Заблокированные IP-адреса и количество доступов включают:
52.178.220.65 (Ирландия) - 512 доступов
13.74.98.138 (Ирландия) - 506 доступов
52.164.217.30 (Ирландия) - 182 доступа
40.113.88.237 (Ирландия) - 139 доступов
Я связался с командой по борьбе с злоупотреблениями Microsoft, но не получил никакого полезного ответа. Вот небольшой отрывок из логов:
IP: 52.164.217.30 Имя хоста: 52.164.217.30 Страна: Ирландия Деятельность: Заблокировано для UA/Hostname/Referrer/IP диапазон не разрешен Попытки доступа:
- /wp-content/ws.php
- /wp-includes/js/tinymce/skins/lightgray/img/index.php
- /wp-content/themes/76qiprzo/fooster1337.php
- /wp-admin/css/colors/light/vSqcqEF.php
- /wp-includes/Requests/HMQZKB.php
Эти попытки неоднократно нацелены на пути, связанные с PHP-файлами в каталогах, таких как /wp-content/, /wp-admin/, и даже .well-known/pki-validation/. Большинство запросов, похоже, поступают от ботов, пытающихся получить доступ к таким файлам, как alfa-rex.php, ws.php и другим, казалось бы, случайным именам скриптов. Мой брандмауэр эффективно блокирует их, но объем значителен и это подавляет.
Мои вопросы:
Что за атака или деятельность это? Учитывая большое количество запросов, нацеленных на конкретные PHP-файлы и пути, может ли это быть известная уязвимость или попытка эксплуатации?
Почему эти запросы приходят с серверов Microsoft в Ирландии? Являются ли эти IP-адреса частью какого-то неправомерно использованного облачного сервиса или, возможно, скомпрометированных виртуальных машин?
Кто-нибудь еще видел подобную активность в последнее время? Является ли это широкой новой вектором атаки, касающимся сайтов WordPress в частности?
Какие дополнительные шаги я должен предпринять для смягчения ситуации? Кроме блокировки IP-адресов, есть ли проактивные меры, которые я могу предпринять, чтобы предотвратить повторение таких атак?
Любые мысли о природе этой атаки и дальнейшие предложения будут очень ценными.
Ответ или решение
На основе представленных вами данных и наблюдений, можно сделать несколько выводов о происходящем.
1. Вид атаки
Судя по характеру запросов и представленным логам, можно предположить, что это атака типа брутфорс, целью которой является определение уязвимостей в PHP-файлах вашего сайта на WordPress. Эти попытки доступа к несуществующим файлам и специфическим путям, таким как /wp-content/, /wp-admin/ и другие, часто используются злоумышленниками для:
- Поиска уязвимых скриптов,
- Проверки существующих уязвимостей в плагинах или темах,
- Эксплуатации известных уязвимостей в программном обеспечении.
Атаки подобного рода предполагают использование автоматизированных скриптов или ботов, которые делают повторные попытки доступа.
2. Происхождение запросов
Что касается IP-адресов, принадлежащих Microsoft в Ирландии, существует несколько возможных объяснений:
-
Компрометированные учетные записи: Эти IP-адреса могут принадлежать кучи скомпрометированных облачных серверов или виртуальных машин. Возможно, злоумышленники используют услуги облачных провайдеров для осуществления атак, чтобы скрыть своё истинное местоположение.
-
Неуместные сканеры: В некоторых случаях, данные IP-адреса могут быть частью сканеров уязвимостей, запущенных исследователями или этичными хакерами, но они неправильно скомпонованы или направляют свои запросы на случайные адреса.
3. Широта проблемы
Да, существуют сообщения о похожей активности среди других владельцев сайтов на WordPress. За последние несколько месяцев наблюдается рост сканирования уязвимостей и брутфорс-атак, ориентированных на сайты на WordPress. Это может быть связано с недавними выпусками обновлений или известными уязвимостями в популярных плагинах.
4. Меры по снижению угроз
Чтобы минимизировать вероятность повторного возникновения подобных атак, рекомендую следующие шаги:
-
Используйте брандмауэр приложения: Установите и настройте брандмауэр для веб-приложений (например, Wordfence или Sucuri), который сможет анализировать трафик в реальном времени и блокировать подозрительные запросы.
-
Обновления: Регулярно обновляйте ядро WordPress, а также все плагины и темы, чтобы предотвратить эксплуатацию известных уязвимостей.
-
Безопасность логина: Используйте многофакторную аутентификацию (MFA) для защиты страниц входа, ограничьте количество попыток входа и измените стандартный URL для страницы входа.
-
Мониторинг логов: Периодически проверяйте логи доступа и настройки безопасности, чтобы выявлять и реагировать на подозрительные активности быстрее.
-
IP blacklist: Сделайте черный список всех IP-адресов, из которых были зафиксированы атаки. Это не является долгосрочным решением, так как IP-адреса могут меняться, но может снивелировать текущую проблему.
-
Регулярные резервные копии: Настройте регулярное резервное копирование вашего сайта, чтобы в случае успешной атаки вы могли восстановить сайт без значительных потерь.
Если вы продолжаете наблюдать подобную активность, стоит рассмотреть возможность обращения к специалистам в области кибербезопасности для более детального анализа и помощи в реагировании на потенциальные угрозы.