Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties, 31.642 views •

Verschillende bedrijven melden een flinke toename in het aantal brute force-aanvallen van botnets op WordPress-sites, waarbij reeksen logins en wachtwoorden geprobeerd worden. Wordpress bevestigt de aanval en raadt gebruikers aan een sterk wachtwoord te nemen.

"Een botnet gaat langs alle WordPresses die het kan vinden en probeert in te loggen met de 'admin'-gebruikersnaam en een reeks wachtwoorden", erkent Matt Mullenweg, oprichter van de dienst. Systemen die onderdeel van het botnet zijn, proberen login/wachtwoordcombinaties uit bij /wp-login.php en /wp-admin om toegang tot de accounts te krijgen.

Volgens hem zijn de meeste gebruikers op een alternatieve login-naam overgestapt sinds WordPress 3.0, maar wie nog 'admin' gebruikt moet dit veranderen. Ook raadt hij aan een sterk wachtwoord te nemen, two-factor-authenticatie toe te passen en de laatste updates door te voeren. Een ip-filter zou weinig zin hebben tegen het botnet: er zijn volgens Mullenweg aanwijzingen dat het netwerk circa 90.000 ip-adressen gebruikt.

Signalen over deze omvang en een flinke toename in de afgelopen dagen komen van onder andere HostGatorCloudFlare en Immotion Hosting. WordPress-sites liggen vrijwel continu onder aanval van botnets, maar beveiligingsbedrijf Sucuri constateert dat in de laatste paar dagen gemiddeld 100.000 pogingen per dag ondernomen worden, waar dat in de vorige maanden op gemiddeld 30.000 tot 40.000 lag. De toename begon begin april, toen het gemiddelde naar 77.000 per dag toenam.

Reacties (68)

Reactiefilter:-168067+145+26+30
Moderatie-faq Wijzig weergave
1. gebruik geen 'admin' voor je admin-taken
2. zet xmlrpc uit op je wordpress (ivm man-in-middle attack)
3. zet evt. via htaccess je wp-admin dicht
4. probeer altijd meest actuele versie te draaien
5. zorg voor goeie backups!!!

[Reactie gewijzigd door himlims_ op 13 april 2013 09:27]

Mja je kan ook een plugin gebruiken als Login LockDown.
Het verbergt of je een verkeerde username of verkeerd wachtwoord hebt gebruikt, aan het login scherm kun je dus niet zien of er Řberhaupt zo'n user bestaat.
Verder kan het ook een IP bannen als hij het x aantal keer niet is gelukt in te loggen.

De plugin is al oud, maar werkt nog steeds perfect op mijn WP 3.5.1 site met buddypress :)

En anders heb je altijd nog deze plugin: http://wordpress.org/extend/plugins/login-security-solution/
Heb ik geen ervaring mee, maar het is wel een bad-ass lijstje aan features :9

Zelf heb ik wel een lichte stijging gezien van mensen die proberen in te loggen, maar dat proberen ze maar 1 malig, en dan zijn ze weer weg :+
hoe meer plugins er geladen moeten worden, hoe trager en onoverzichtelijker je installatie wordt. nog niet gesproken over incompatabiliteit bij updates.

kunt het -altijd- beter met de hand doen, ben ook JIJ de baas van jouw systeem.
Ooit van XCache gehoord?
Ik draai met gemak 27 actieve plugins, en pagina's worden razend snel gegenereerd. :)
Sowieso, als Login LockDown je site echt zo zwaar vertraagd zou ik toch eens naar een nieuwe host gaan zoeken, aangezien het nogal een lichte plugin is.

Bovendien, wat jij allemaal "met de hand" doet zijn allemaal non-solutions. Als je meerdere users heb in je wordpress installatie hebt zijn die "oplossingen" van jou totaal nutteloos.

Je wilt gewoon systemen hebben die actief aanvallen detecteren en afweren. Het zelfde met een windows pc, alleen updates installeren zal je ook niet beschermen van virussen.
beetje iphone mentaliteit: there is an app-for-that :+ maar goed, ieder zijn ding en persoonlijke voorkeur :Y)

[Reactie gewijzigd door himlims_ op 13 april 2013 15:44]

Het heeft er meer mee te maken wat en hoe de plugin werkt dan het feit dat het een plugin is. Als die plugin simpelweg via een hook een paar lijnen php verandert ga je het niet echt merken. Je hebt natuurlijk ook plugins die bij het laden 5-10 verschillende DB queries nodig hebben, op ELKE pagina 5 extra JS libraries zetten, geen rekening houden met grotere sites (denk 5-10k+ posts) en nog van dat soort dingen... Die plugin wil je natuurlijk wel vermijden...

Ik denk bijvoorbeeld aan een plugin die bij mij de Varnish cache up-to-date houdt als er nieuwe posts worden toegevoegd. Dit is niet meer dan 1 enkel php bestandje dat wat hooks naar verschillende acties plaats (nieuwe post, post geupdate, etc) en een request naar Varnish stuurt via curl. Dat ga je echt niet merken en ik weet niet hoe je het sneller zou doen...

Of denk aan een andere plugin die afbeeldingen lossless comprimeert nadat ze geupload zijn. Vraagt veel performance voor een plugin te zijn, maar er is geen enkele manier om het noemenswaardig sneller te doen verlopen. Wat ik wel weet is dat op veel afbeeldingen 30-50% winst kan worden gemaakt en er een meetbaar verschil is bij het laden van de pagina.

Maar ze zijn niet allemaal zo. Ik heb ook al rotte plugins gehad... Meestal kan je door een paar min in de source te kijken al zien of het extreem slecht of heel licht/snel is.
Wordfence is ook een goede plugin om misbruik van de wordpress installatie te voorkomen en hiervan te herstellen. Zo word je site regelmatig gescanned en word je op de hoogte gesteld van gewijzigde bestanden en plugins die geupdate moeten worden (veel hacks vinden plaats d.m.v. verouderde plugins) . Je kunt ook precies zien hoe het bestand er voor een update uitzag en geeft het je een indruk of er misschien "rare" wijzigingen plaats hebben gevonden na het updaten.

Ik had malware bestanden op mijn site staan waarvan ik helemaal geen weet had en deze plugin heeft deze gevonden en verwijderd. Nu word men automatisch een week geblokkeerd na 2 mislukte inlogpogingen en worden fake crawlers automatisch gedeblokkeerd.

[Reactie gewijzigd door dycell op 13 april 2013 13:33]

Mja, die is niet compatible met IPv6, knalt meteen een log vol aan errors als mensen via IPv6 verbinden :+

Ik gebruik nog steeds WordPress Sentinel om bestandswijzigingen te detecteren. Aangezien ik wekelijks backups heb van alle bestanden en van mijn databases kan ik makkelijk bestanden terug zetten die niet hadden moeten veranderen ;)
De IP-blokkade heeft alleen weinig zin aangezien er gebruik gemaakt wordt van een botnet met vele IP-adressen.
Ik heb weleens moeite met de meest actuele versies draaien. Dit zorgt namelijk ook nog wel eens voor problemen zoals nieuw ge´ntroduceerde veiligheids lekken of andere bugs (zie iOS updates en MS updates als grote voorbeelden). Ik wacht zelf meestal eventjes de reacties af van gebruikers voor ik de stap zet. Niet perse wordpress specifiek maar meer algemeen.
Fail2bannetje er tegen aan:

failregex = .* <HOST> - - \[.*POST /wp-login.php HTTP/1.[01]" 200

Bij het opgeven van een verkeerde username/pwd combinatie, zal Apache de client een '200' status teruggeven. Bij een correcte login is dit 302. Dus dit matched alleen als er een verkeerde username/pwd gePOST wordt.

Mijn logformaat is:

LogFormat "%v %h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

De %v is niet-default, dus voor een default 'combined' zou het moeten zijn:

failregex = <HOST> - - \[.*POST /wp-login.php HTTP/1.[01]" 200

Verder doe ik dan:

maxretry = 1
bantime = 7200
findtime = 7200

Dus .. 1x een verkeerd pwd, is 2 uur lang jouw packets naar /dev/null. Daaaaaaaag.
1x fout wachtwoord al afstraffen???
wat doe je dan als iemand een typo maakt.???

2 uur lang niet mogen reageren enzo...

ik zou die limiet toch wel op 2 of max3 zetten dan hoor... zodat legit fouten niet worden afgestraft ...
50 retries is wat de botnets doen; dat is natuurlijk nog steeds 48 keer die je kan blokkeren per IP.. da's 1x minder dan als je na 1 fout al zou blokkeren; en op 50 tries is dat maar een schamele 2% (1/50e = 2/100e = 2%)
Vrijwel iedereen slaat die wachtwoorden op. Dit is ook op mijn eigen server. Op shared hosting zou ik 'm idd ook op 5 ofzo zetten.
╔Ún van de betere plugins om je site te beschermen is, naar mijn mening, better wp security (http://wordpress.org/extend/plugins/better-wp-security/).

Deze is volledig gratis en biedt enkele erg goede functies, waar onder:
  • Automatische lockouts d.m.v. patroonherkenning (bijv. opvallend vaak niet-bestaande files aanroepen)
  • Database backups
  • Etc.
Daarnaast helpt deze je met enkele simpele stappen je site te beschermen, zo zie je bijvoorbeeld in het volgende scherm of je site voldoet of niet:
http://s.wordpress.org/ex...screenshot-1.png?r=696912

Overigens moet ik wel vermelden dat je niet zomaar alles uit moet voeren wat de plugin zegt. Zo kunnen enkele instellingen er voor zorgen dat bepaalde plugins niet meer werken. Probeer dus een beetje de gulden middenweg te kiezen tussen beveiliging en je gebruikte plugins.

Mijn tip is sowieso de database table prefix te veranderen, toegang tot je admin uit te zetten wanneer je het niet nodig hebt (bijv. 's nachts), sterke wachtwoorden te gebruiken, bad host lijst te koppelen en de user "admin" te veranderen naar iets anders. Dan ben je al vrij sterk op weg.

Ik persoonlijk merk de aanvallen ook. Ik heb meerdere sites en ik krijg de laatste tijd erg veel lockout notifications binnen.

[Reactie gewijzigd door foekie01 op 13 april 2013 11:09]

Ja, dat admin access uitzetten als je het niet nodig hebt. Klinkt leuk, maar ik heb geen schema naast mijn pc liggen wanneer ik wel en niet wil/moet inloggen. Dus ik vind dat persoonlijk een nogal vage optie. Zal wel aan mij liggen, en/of aan de manier hoe ik werk/leef, maar het voor mij heel erg onpraktisch en ongewenst om dat in die mate te reguleren.

Bovendien zeurt het ding zelfs over zijn eigen wijzigingen. Leuk dat je bericht krijgt als er files verandert zijn, maar als dat een update van zijn eigen programma is, wordt je daar een beetje simpel van.

Evengoed een fijn progsel. Ik heb ook een andere geprobeerd die volgens anderen 'beter' zou zijn, maar die (de gratis versie dan) maakte steeds op een behoorlijk irritante manier reclame voor de betaalde versie. Blijkt dus dat de gratis versie dus bijna niets kan en alleen maar dient als lokkertje voor de betaalversie. Anoying.
Als je nu alle verbindingen die binnen 10 seconden 10x probeert in te loggen helemaal aan het begin van de firewalldeur toegang weigert (voor bijv. een paar uur - of langer - afhankelijk van hoeveel foute inlogpogingen binnen een bepaalde korte tijd), is 't probleem dan niet opgelost?

Een betere oplossing is natuurlijk het voorkomen van botnets.
Oftewel: overstappen naar Open Source OS'sen. Die zitten zelden in een botnet...
Open Source is geen garantie voor veilig. Eerder juist van niet want iemand kan gewoon bekijken waar ie een ingang kan vinden en dat uitbuiten totdat ze erachter komen. Bij closed source heb je dat minder.

Enige voordeel van de meeste Open Source OSsen is dat ze weinig gebruikt worden en daardoor niet zo interessant zijn om te gaan hacken. Maar denk niet dat ze helemaal geen lekken hebben.
Grappig, maar dat klopt niet helemaal. Android is een Linux OS met daarbovenop een grafische schil van Google. En Android is behoorlijk veelgebruikt op dit moment. Grote kans dat jij het op je tablet hebt.
Apple heeft hun code ook gebaseerd op een open-source besturingssysteem. Ditmaal gaat het om FreeBSD, waarbij Apple een afspraak had gemaakt dat Apple verbeteringen kon aanbrengen in de code van FreeBSD en die branch zou dan weer als open-source worden vrijgegeven. Daarna kan Apple doorwerken met die code, terug onder een gesloten licentie terwijl de gemeenschap nu een sterk verbeterde open-source versie had die ook op Apple systemen prima draait. Daarmee is veel van Apple eigenlijk ook op open-source gebaseerd. Had je toevallig een iPad of iPhone?
-
Verder heb je gelijk. Bij open-source kan iemand gewoon de code nakijken op zoek naar zwakke plekken. Daar kan dan misbruik van gemaakt worden. Alleen, met populaire open-source heb je al gauw duizenden tot zelfs miljoenen experts die continu de boel in de gaten houden en veel van hen rapporteren de zwakheden die ze tegenkomen en leveren regelmatig oplossingen op die het gat dichten.
Bij closed-source is het zoeken naar zwakheden lastiger, maar niet onmogelijk. Code kan gedecompileerd worden en dan kan alsnog naar zwakheden worden gezocht. Het zijn echter maar weinig mensen die deze moeite nemen, waardoor zwaktes in de code veel beter verborgen blijven en het misbruik dus ernstiger kan zijn simpelweg omdat niemand beseft dat het lek er is. Het kan dan uitgebuit worden totdat iemand eindelijk het misbruik opmerkt, en juist dit zorgt ervoor dat er botnets kunnen bestaan. Het misbruik valt te laat op, het maken van een oplossing duurt langer en het verspreiden van de update gaat ook lang niet altijd goed.
-
Mijn eigen mening is dat beiden ongeveer even veilig zijn. Open-source maakt het makkelijker om zwaktes te ontdekken, maar deze worden dan ook sneller opgelost. Closed-source is trager in het oplossen domweg omdat men trager is met het ontdekken van die zwaktes.
Grappig, maar dat klopt niet helemaal. Android is een Linux OS met daarbovenop een grafische schil van Google. En Android is behoorlijk veelgebruikt op dit moment. Grote kans dat jij het op je tablet hebt.
En android is een van de onveiligste systemen en heeft erg veel malware. Ook zijn er reeds meerdere botnets aangetroffen op android. Dus inderdaad, alleen een systeem met veel gebruikers is zinvol in een botnet. OS is niet veiliger dan andere systemen.
nieuws: Android-botnet laat toestellen ongemerkt duizenden sms'jes verzenden
Open Source is geen garantie voor veilig.
Helemaal mee eens.
Maar het is m.i. wel een voorwaarde(!). Niet alleen best practice, maar echt een voorwaarde. Een overheid (laat staan de hele community) kan onmogelijk de veiligheid checken van Closed Source. En dan moet 't nog maar zo zijn dat de overheid niet alleen zulke controles kan uitvoeren maar ze ook uitvoert. Beiden zijn niet het geval.
...Eerder juist van niet want iemand kan gewoon bekijken waar ie een ingang kan vinden en dat uitbuiten totdat ze erachter komen. Bij closed source heb je dat minder.
Security by obscurity, wat je hierbij predikt, is een heilloze weg:
http://en.wikipedia.org/w...Open_source_repercussions:
"...research indicates that open-source software does have a higher flaw discovery, quicker flaw discovery, and quicker turn around on patches. For example, one study[7] reports that Linux source code has 0.17 bugs per 1000 lines of code while non-Open-Source commercial software generally scores 20-30 bugs per 1000 lines."
programmas zoals windows worden door meer dan een miljard mensen dagelijks gebruikt. Dat steekt schril af bij de honderden of duizenden code reviewers op open source. Vrijwel geen enkele gebruiker doet iets met het open source karakter en dat is ook nergens voor nodig. ( je trekt ook niet dagelijks je motorkap open, die auto werkt gewoon)
Naarmate een system vaker gebruikt wordt komen er ook meer gaten aan de oppervlakte. Daar ligt duidelijk een oorzakelijk verband.
Niemand heeft het trouwens over security by obscurity, dat is een leuke bijkomstigheid maar geen policy of zo. Allen open source aanhangers komen daar telkens weer mee aan.
Je onderzoek vergleijkt een kernel ( linux is alleen een kernel) met closed source in zijn algemeenheid, geen sterke vergelijking en slechts een onderzoek.

Duidelijk is ook dat je in code zaken juist in de openheid kunt verbergen. Denk aan de bewering dat er een backdoor in bsd zit. De onzekerheid blijft daar ondanks de open source.

[Reactie gewijzigd door SED op 13 april 2013 14:36]

Tjonge... Onder welke steen... Nou ja laat maar...

Wel eens van peer-review gehoord?
open source OS zitten zelden in een botnet omdat een dergelijk botnet maar erg weinig gebruikers/bots heeft. Dat heeft weinig met de beveiliging te maken.
Los eerst al die open source routers maar eens op die deel uitmaken van een botnet.
http://www.intermediair.n...ers-zeer-slecht-beveiligd
Nooit gepatched, slechte default wachtwoorden etc..
edit:
deze is ook veelzeggend: http://www.spiegel.de/int...arna-botnet-a-890413.html

[Reactie gewijzigd door SED op 13 april 2013 13:25]

Naast de cijfers. Ook een reden van de stijging?
Wordpress is, samen met Joomla, wel 't populairste en meest gebruikte CMS denk ik. Dus een goede reden om hier allerlei scriptjes voor te schrijven. Met weinig inzet toch een grote markt pakken.

Het is dus vaak veiliger om een wat minder populair pakket te nemen met de gebruikelijke veiligheidsnormen. Er zijn namelijk OS CMS pakketten die minstens net zo interessant zijn.
Alleen daar is dan het dan wel weer zo dat er veel minder voor te krijgen is plugin's etc
Daarnaast merk ik vaak bij klanten dat ze al ervaring hebben met Joomla of Wordpress en dat ze dat fijn vinden werken. Ik heb zelf meerdere CMS pakketten uitgeprobeerd maar daar is de gebruiksvriendelijkheid soms ver te zoeken.
Ik heb er ook al heel wat uitgeprobeerd, en voor de 99% van de KMO websites kon ik CMSMS gebruiken en eventueel er zelf wat bij programmeren dmv van UDT's. Je kan er lekker cleane html/css mee outputten, je kan er alle kanten mee op.

Volgens mij is cmsms het meest interessante pakket voor een front-end developer (met kennis van PHP - maar dat is standaard, toch?).

Joomla, drupal, and the likes vond ik een bazooka om een mug dood te schieten. Veel te veel overhead, veel te veel werk om alles in te stellen. En veel te moeilijk om de klant te leren zelf teksten aan te passen.

Het enige nadeel is dat je elke installatie apart moet updaten, wat je bij de meeste cms'en wel zal hebben.

edit: en veel plugins voor te vinden, en een goede support via forum en IRC

[Reactie gewijzigd door besluitloos op 13 april 2013 20:16]

Een alternatief CMS zoeken helpt, maar wat in mijn ervaring veel belangrijker nog is, is zorgen dat je CMS up-to-date blijft. Veel gebruikers (inclusief zakelijke) nemen een leuk CMS, betalen een designer om daar een mooi ontwerp voor te zetten, en gaan er vervolgens vanuit dat ze er niks meer aan hoeven te doen.

Vooral kleine bedrijven en particulieren zijn in mijn ervaring huiverig met het nemen van onderhoudscontracten, en als je dan een bekend CMS gebruikt zonder updates ben je vrij snel de sjaak.
Vaak het verspreiden van spam, gebruik maken van de reputatie van de website voor het verhogen van de eigen reputatie (een soort onvrijwillige linkbuilding). Achterhalen van de gegevens van gebruikers van de website (email-adressen die bij het commenten zijn gebruikt).
Misschien handig om gebruikers een variabele toe-te laten voegen in de filename of in het pad waardoor er geen standaard pad meer is naar de wplogin.php en /wpadmin locaties?

Dat is wat ik zelf zou veranderen namelijk. Even uitzoeken hoe er in het systeem verwezen wordt naar deze paden en ze overal aanpassen en klaar is kees lijkt me zo. Helaas misschien niet voor iedereen te doen.
Ik zou het fijner vinden als ze een optie zouden bieden om een dynamisch pad voor eenmalig gebruik aanmaken en deze bijvoorbeeld via e-mail te laten versturen.
Ik heb gisteren van mijn hosting een bericht over ontvangen.
Dear customers using Wordpress,

*The following issue only concerns Wordpress installations and users, all other Servage services, clusters and scripts run smoothly.*

Due to Brute Force attacks on Wordpress Login pages we blocked Wordpress to protect our customers.

These attacks try to take over the blogs of Wordpress users.
We hope the attacks will be over very soon so you can use Wordpress again and we are doing everything to protect you again these hacking attacks.

If you have any questions concerning this, feel free to contact us via our support ticket system, phone, social media or others.

Thanks for your patience!

Kind regards,
your Servage-Team
Lijkt me een goede stap om de login pages te blocken.

Dat is het nadeel van een goed en veelgebruikte CMS.
Hopen dat ze snel 2 way verification gaan invoeren.
Je site ongevraagd offline halen. Wat een knake hosting. Een normaal security beleid toepassen op je eigen site en je hebt er sowieso geen last van.
Nee ze halen je site niet offline, maar ze zorgen voor een extra beveiliging. Ik draai er een wp site en ik kan nog inloggen. De username admin lijkt wel geblokt te zijn.
dan is dit wel een heel ongelukkige formulering
we blocked Wordpress
Ja die verificatie bedoelde ik, maar atm werkt die enkel op WordPress.com
Mits wat plugins ook te gebruiken op je eigen wp site
Heel simpel een host allow in je htaccess zetten. Is het natuurlijk wel van belang dat je een vaste ip adres heb.

Een maatregel die ik zelf heb genomen is rusland en oekraine te blokken. Tevens alle .ru domeinnamen. Heb gemerkt dat dat al heeeel veel scheelt.
Vreemd. Ik heb mijn Wordpress site ook gehost bij Servage, maar ik heb geen mail ontvangen en mijn site (incl. admin) is ook niet geblockt.
Ik heb toevallig van de week wel de two-factor authentication ge´nstalleerd op mijn site ;-)
Wat een slechte actie, Wordpress blokkeren. Zowiezo is Servage een bagger host. Veel problemen bij gehad.
Ik denk niet dat het alleen WordPress sites zijn. Op mijn Joomla sites zie ik de laatste tijd ook heel erg veel pogingen om in te loggen als admin. Die komen voornamelijk uit Vietnam, dus ik heb die IP reeks geblocked.
Op mijn Joomla sites zie ik de laatste tijd ook heel erg veel pogingen om in te loggen als admin. Die komen voornamelijk uit Vietnam, dus ik heb die IP reeks geblocked.
Misschien gaan we ooit wel weer terug naar nationale netwerken i.p.v. de internationale zoals we nu gewend zijn van het Internet.

Telkens als er een bot uit 1 land komt, dat land afsluiten. Als alle andere landen dat ook telkens doen, dan hoeft er maar 1 keer een botnet(je) vanuit Nederland gerunt te worden en wij kunnen dan ook nergens meer bij.
Het viel me al op in mijn logs, dat wp-login en wp-admin de laatste tijd wel erg vaak bezocht werden. Ben ook benieuwd naar de reden.

Opvallen dat er zoveel mensen gewoon 'admin' als username nemen, terwijl het volgens mij zelfs in de installatie gids staat om iets anders te nemen...
Ik merk ook dat m'n Drupal sites erg veel aandacht krijgen. Een oplossing in de vorm van Spamicide of Mollom is absoluut noodzakelijk bij iedere verse installatie.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True