وب‌گاه‌های وردپرس و جوملا تحت حملات مداوم بات‌نت‌ها

وب‌گاه‌های در معرض خطر به بخشی از حملات گسترده‌ی امروز تبدیل شده‌اند. این وب‌گاه‌ها برای میزبانی انواعی از تهدیدات اعم از صفحات ساده‌ی هرزنامه یا پرونده‌های مخرب مورد استفاده قرار می‌گیرند.

به تازگی مقیاس این تهدیدات بزرگ‌تر شده است. چندی پیش درپشتی۱ موسوم به BKDR_FIDOBOT.A به منظور جستجوی گسترده در وب‌گاه‌های وردپرس مورد استفاده قرار گرفت. این بدافزار سعی می‌کرد در صفحات مدیریتی وردپرس و جوملا در قسمت administrator/index.php/ و wp-login.php/ وارد شود؛ برای این منظور به کارگزار کنترل و فرمان‌دهی متصل شده و در آن‌جا فهرستی از وب‌گاه‌های هدف و گذروژهای مربوطه را بارگیری می‌کرد(این بدافزار از عبارت admin به عنوان نام کاربری استفاده می‌نماید). اطلاعات ورود موفق نیز در همان کارگزار کنترل و فرمان‌دهی بارگذاری می‌شد.

در طول یک روز این درپشتی برای حمله به بیش از ۱۷۰۰۰ دامنه‌ی مختلف مورد استفاده قرار گرفت که این رقم در مدت یک هفته به بیش از ۱۰۰۰۰۰ دامنه می‌رسد. البته این رقم تنها متعلق به یک ماشین آلوده است و با در نظر گرفتنِ بات‌نتی در اندازه‌ی معمول، تعداد وب‌گاه‌های در معرض خطر در اثر این حمله بسیار بسیار بیشتر از این می‌شود!

وب‌گاه‌های هدف عمدتاً در آمریکا قرار دارند به گونه‌ای که دو سوم از آن‌ها در این کشور واقع شده‌اند. کشورهای اروپایی هم در سایر رتبه‌ها قرار دارند.

	شکل ۱- توزیع وب‌گاه‌های هدف

 

این حمله به خودیِ خود نگران‌کننده است. اما اگر از زاویه‌ی بالاتری نگاه کنیم چنین تلاش‌های گسترده‌ای برای ورود به وب‌گاه‌های وردپرس می‌تواند نشانی از یک حمله‌ی تهدیدآمیزتر باشد. به عنوان مثال در عملیات بات‌نت Stealrat از چندین وب‌گاه در معرض خطر وردپرس استفاده می‌شد تا هرزنامه تولید کند و عملیات خود را پنهان نماید. بسته‌ی نفوذی مشهور Blackhole نیز از چندین وب‌گاه وردپرس استفاده می‌کند تا کاربران را به تابع مخرب نهایی خود انتقال دهد.

تهدیدات این‌چنینی اهمیت ایمن‌سازی مناسبِ سامانه‌های مدیریت محتوا (مثل وردپرس) را برای مدیران وب‌گاه‌ها برجسته‌تر می‌کند. برای این منظور به‌روز‌نگاه داشتن این ابزار و استفاده از گذرواژه‌های قدرتمند برای پیشگیری از به‌خطر افتادن وب‌گاه‌ها ضروری است. یک وب‌گاه در معرض خطر بر هزاران کاربر تاثیرگذار است؛ از این رو ایمن‌کردن گذرواژه‌ها برای مدیران وب‌گاه باید اهمیت زیادی داشته باشد. تنظیمات و افزونه‌هایی برای کمک به ایمن‌تر کردن سامانه‌های مدیریت محتوا وجود دارد که این افراد باید به خوبی آن‌ها را به کار بگیرند.

نکته‌ی جالب در مورد این درپشتی این است که مشخصات پرونده‌ی مربوطه ادعا می‌کند که توسط شرکت نرم‌افزاری معتبری منتشر شده و همچنین ارجاعی به پروژه‌ی جاسوسی پریسم۲ آژانس امنیتی ملی آمریکا دارد:

	شکل ۲- مشخصات پرونده

 

بنابراین توجه به امنیت سامانه‌های مدیریت محتوا می‌تواند از خطرات بعدی نیز پیشگیری کند؛ که این اقدام مستلزم توجه بیشتر مدیران وب‌گاه‌هاست.