3 minutes reading time (656 words)

Grote toename distributed brute force attacks tegen Joomla websites

Grote toename distributed brute force attacks tegen Joomla websites

Een paar maanden geleden was er sprake van een zeer grote brute force aanval gericht op WordPress websites.

De aanvallers hadden duizenden servers tot hun beschikking, en probeerden alle soorten wachtwoorden op wp-admin (WordPress admin paneel) om te proberen om de toegang tot zo veel mogelijk WordPress websites te krijgen. De aanval duurde een paar weken en daarna werd het rustiger. Of ze succes hebben gehad weten we niet maar zoals we weten hoe slecht mensen omgaan bij het kiezen van wachtwoorden kan het niet anders als dat ze success hebben gehad met hun aanvallen.

De laatste tijd was hetzelfde te zien bij Joomla websites. Terwijl de meeste van de sites die we in de gaten hebben gehouden een paar aanvallen per dag kregen, was dat de laatste tijd tot duizenden aanvallen per dag gestegen.

Tegen een van die websites, zagen we 11.349 aanvragen in de loop van een paar uur uitgevoerd door maar liefst 1737 verschillende IP-adressen. Elk IP-adres probeerde om één of twee keer in te loggen. En na een paar uur ging dit weer door, waardoor dit type aanval zeer moeilijk op te sporen en te blokkeren is.

Joomla brute force tijdlijn

We hebben een gemiddelde van 6.000 brute force pogingen tegen Joomla websites dagelijks voorbij zien komen op verschillende netwerken. Sommige dagen bedroeg het aantal attacks bijna 13000 waarna de hoeveelheid attacks soms ook weer scherp daalde tot ruim 3000 attacks. De laatste 3 dagen is er een grote toename te zien tot bijna 269.975 scans op 2 september 2013. Die enorme toename is nergens op gebaseerd maar kwam ineens op.

In de afgelopen periode zijn er klanten geweest die ons vroegen waar die enorme druk op hun websites vandaan kwam, dit was hetzelfde toen de WordPress websites onder vuur lagen.

brute-force-kaart-joomla

Trage en lage scans

De meeste van de brute force attacks uit het verleden betreffen een enkel IP-adres welk probeert de loginpagina's honderden keren aan te vallen. Daarna werd er een ander IP-adres gebruikt waarna er nog een aantal volgden totdat de aanval gelukt was.

Dit type aanval is anders en maakt gebruik van de trage en lage aanpak om ontdekking te voorkomen. In plaats van hetzelfde IP-adres wordt dat IP-adres een of twee keer gebruikt waarna er meteen een ander IP-adres gebruikt wordt.

Onderstaande laat zien hoe logs eruit kunnen zien:

89.75.101.239 - [02/Sep/2013: 17:20:31 -0400] "POST / administrator / index.php HTTP/1.0"

94.53.18.114 - [02/Sep/2013: 17:20:49 - 0400] "POST / administrator / index.php HTTP/1.0"

188.115.166.238 - [02/Sep/2013: 17:20:54 -0400] "POST / administrator / index.php HTTP/1.0"

122.118.47.248 - - [02/Sep/2013: 17:21:12 -0400] "POST / administrator / index.php HTTP/1.0"

89.42.253.49 - [02/Sep/2013: 17:21:13 -0400] "POST / administrator / index.php HTTP/1.0 "

91.236.201.207 - [02/Sep/2013: 17:21:49 -0400] "POST / administrator / index.php HTTP/1.0"

188.115.166.238 - [02 / Sep/2013: 17:21:53 -0400] "POST / administrator / index.php HTTP/1.0"

110.77.209.153 - [02/Sep/2013: 17:22:05 -0400] "POST / administrator / index . php HTTP/1.0 "

110.77.209.153 - [02/Sep/2013: 17:22:05 -0400] "POST / administrator / index.php HTTP/1.0"

 

Zoals u kunt zien, zijn de IP-adressen steeds anders en duurt het hoogstens een paar seconden tussen elke poging. Dit type van onder de radar scannen is niet nieuw, het is al vaker op deze manier gebruikt. We meestal niet deze aanpak zien in web-based scanning.

Slimme brute force aanvallen afwenden

Een ander aspect van dit type aanvallen is dat ze slim lijken plaats te vinden. In plaats van via een woordenlijst, lijkt de aanval maatwerk te zijn per locatie. Is uw site URL bijvoorbeeld is jouwsite.nl, dan proberen ze eerst de volgende combinaties:

admin:jouwsite.nl
administrator:jouwsite.nl
admin:jouwsite
admin:jouwsite123
admin:123jouwsite.nl
administrator:jouwsite123
administrator:123jouwsite.nl
admin:jouwsitelaatmebinnen

Er zijn een hoop andere variaties op basis van de URL van de website en de titel. Het lijkt erop dat de aanvallers bezig zijn om hun pogingen te intensiveren om de kans op succes te vergroten.

Conclusie

Als u gebruik maakt van Joomla, raden we aan om de toegang tot uw administrator paneel te blokkeren en alleen toegang toe te staan van uw witte IP lijst.

Nederland in top 5 aangevallen Joomla en Wordpress...
Het belang van een up to date Joomla! installatie

Gerelateerde berichten

 

Reacties

Er zijn nog geen reacties gegeven. Wees de eerste die een reactie geeft
Gast
vrijdag 23 augustus 2019

Captcha afbeelding