Quelques informations concernant une famille de malware/virus utilisé pour effectuer des attaques brute-force contre les sites WordPress.
Le but de ces malwares est d’utiliser des ordinateurs en Windows afin d’effectuer des attaques par brute-forces sur WordPress.
Table des matières
Malware Bruteforce Auth WordPress
Hier je suis tombé sur un malware relativement intéressant. Ce dernier créé une clef RUN : HKCU/Software/Microsoft/Windows/CurrentVersion/Run/Google Update Services
Jusque là, des plus classiques.
Au lancement, le malware se connecte sur l’adrese 74.121.150.39 sur le port 22501 afin d’y récupérer des informations. Ces dernières sont chiffrées.
puis une série de POST s’ensuit. Les connexions sont assez rapides, ce qui peux saturer la machine. Comme on peux le constater, les connexions se font sur la page de Login de WordPress.
On peut alors récupérer les tentatives de connexion :
En Avril, sucuri avait alerté sur une attack Bruteforce sur WordPress : http://blog.sucuri.net/2013/04/the-wordpress-brute-force-attack-timeline.html
Difficile de dire, si ce malware en est la source.
Les attaques par dictionnaires sont donc encore pas mal en vogue, d’où les conseils habituels de ne pas utiliser de mot de passe s’y trouvant 🙂 Sample : http://malwaredb.malekal.com/index.php?&hash=ba33f1dcf9c6caf114e3010afc68ddc4
EDIT 17 septembre
Pas mal de tentatives sur le site depuis quelques jours : Ce qui est trop con, c’est que le bruteforce test l’user malekal, alors qu’il suffit de voir dans les articles postés que ce n’est pas celui que j’utilise ….
Comme ça me gonflait, j’ai mis en place un rewrite (c’est surtout l’objet de cet EDIT, ça peux aider ) qui permet bloquer les POSTs et n’autoriser qu’à des IPs ou classes d’IPs :
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REMOTE_ADDR} !^83\.202\.[0-9]+\.[0-9]+
RewriteRule ^wp-login.php$ - [F]
On peut déclarer plusieurs lignes classe d’IPs avec plusieurs lignes REMOTE_ADDR. Du coup avec un proxy, tintin : et pour moi, ça POST : Ce qui donne des 403 sur les tentatives 🙂
EDIT – 20 Juillet : WordPress Bruteforcer de retour via wp.getUsersBlogs API
Hier soir j’ai noté une grosse attaque sur le forum :
Un POST sur /xmlrpc.php en utilisant la méthode wp.getUsersBlogs.
C’est donc à nouveau une tentative d’authentification.
La liste des IPs: https://www.malekal.com/download/xmlrpc_bruteforce_attack.txt
Environ 5000 IPs uniques.
Le dictionnaire utilisée pour l’attaque : https://www.malekal.com/download/xmlrpc_bruteforce_attack_dico.txt
EDIT – Trojan Sathurbot
Le Trojan prend le contrôle de la machine infectée et effectue des attaques par brute force pour infecter des sites WordPress.
Ces attaques permettent de trouver des accès à ces sites en trouvant des accès avec des mots de passe faibles.
Les sites sont ensuite modifiés par les pirates pour proposer des Torrent malicieux, avec des pages WEB de téléchargement torrent ajoutées par les pirates.
Si un utilisateur télécharge ce dernier, il est susceptible d’infecter son ordinateur et joindre le botnet pour suivre l’attaque.
Sathurbot installe aussi d’autres trojans (Trojan-PWS.Fareit) pour voler des mots de passe et données contenues sur l’ordinateur.
Sathurbot fonctionne par une injection de DLL dans explorer.exe ce qui permet le contrôle ce dernier.
Les connexions réseaux sont effectuées par le processus explorer.exe pour tirer profit de règles pare-feu trop peux restrictives.
Sathurbot en vidéo avec le mode de propagation avec les attaques par brute force contre WordPress et l’injection de DLL :
Comment protéger WordPress des attaques par Bruteforce
Plusieurs méthodes sont possibles :
- En mettant un mot de passe sur la ressources de connexion via le serveur WEB.
- En configurant un rate limit sur le serveur WEB : Protéger Nginx des attaques DoS et bruteforce
- En installant Fail2ban : Fail2ban : protéger son serveur des attaques DoS et Bruteforce
- Des extensions de sécurité sur WordPress peuvent aussi vous en protéger