WordPress, SQL, spam. Tak atakuje się polski internet

To nie przypadek, że dostawcy internetu w Polsce zapewniają już nie tylko samą usługę sieciową, ale również szeroki zakres ochrony antywirusowej czy wsparcie techniczne w razie problemów. Polski internet jest coraz bardziej narażony na ataki. Myślisz, że Ciebie problem ten nie dotyczy? Błąd – wystarczy, że masz stronę internetową opartą na WordPress, a potencjalnie już jest ona celem cyberataku. 

Polski internet, a w zasadzie jego stopień zabezpieczeń i źródła ataków to temat analizy, którą jesienią 2019 r. przygotowała grupa hostingowa H88. Analizowała ona skrypty zliczające i blokujące nietypowe i podejrzane żądania. Zostały one umieszczone na stronach marek hostingowych, które należą do wspomnianej grupy. W ten sposób analizowano np. Linuxpl.com, Hekko.pl czy H88.pl oraz określone blogi i systemy. 

W sumie, jak informuje H88:

W ciągu pierwszej połowy 2019 roku zarejestrowano 101 121 adresów IP, z których doszło do 114 711 zanotowanych incydentów. 

Wnioski? Polski internet to jest coraz bardziej narażany na ataki – i stąd nieprzypadkowy nacisk na to, by dostawcy w ofertach uwzględniali kwestie zabezpieczeń. 

Skąd atakowany jest polski internet?

Myślisz, że z kierunku wschodniego? Błąd. Okazuje się – co można przyjąć za niespodziankę – że najwięcej poderzanego ruchu wygenerowały numeru IP należące do Finlandii. To aż połowa nietypowych żądań. Ukraina i Rosja zajmują w tym zestawieniu dopiero trzecie i czwarte miejsce. Wyprzedza je Francja. Z kolei wewnętrzne ataki przez internet – z Polski – to dopiero siódme miejsce w tym niechlubnym rankingu. 

WordPress – cel numer 1 hakerów

Próby włamań na serwis internetowych poprzez WordPress to naturalny kierunek, w którym dążą hakerzy i boty próbujące przełamać zabezpieczenia. To ten CMS był celem największej liczby ataków. Chodzi o próby dotarcia do pliku odpowiedzialnego za XML-RPC w systemie zarządzania treścią. Jak zauważa Artur Pajkert z Linuxpl.com:

Mechanizm ten jest rzadko potrzebny na stronach. Tam, gdzie zainstalowaliśmy nasz monitoring zagrożeń, był on wyłączony. Mimo to roboty uparcie o niego odpytywały, co traktowaliśmy jako szukanie podatności. Zarejestrowaliśmy ponad 133 tys. takich prób ataków. Interesującą kategorią ataków było też szukanie podatności w pluginach i to nawet, jeśli strona w ogóle nie działała w oparciu o WordPressa! To tylko pokazuje, jak istotnym jest, żeby stosować aktualne wersje wtyczek i szablonów

SQL, czyli preparowanie baz danych

Drugim po WordPressie zagrożeniem jest atak SQL Injection. H88 odnotował niespełna 11 tys. takich prób. Sprowadzały się one do preparowania informacji tak, by aplikacja wykonała polecenie bazodanowe. Nie było ono przewidziane przez autora aplikacji. Prowadziło to do sytuacji, w której atakujący nie zapisywał się np. na newsletter, ale podejmował próbę uzyskania listy osób, które to zrobiły. 

Spam – polski internet jest go pełny!

Dostawcy intertnetu coraz częściej borykają się też z masowym spamem. Dotyczy to np. ataków na formularze kontaktowy czy wpisy blogowe. To również pojawia się kwestia znaczenia, jakie ma regularna aktualizacja CMS – np. WordPress. Jak zauważa Pajkert:

Bardziej od treści szkodliwy jest masowy charakter takiego działania, które może powodować wykorzystanie limitów serwera, sparaliżowanie pracy osób obsługujących takie zgłoszenia, czy radykalne obniżenie atrakcyjności strony w oczach zwykłych użytkowników.

Spam najczęściej zawiera podejrzane linki oraz… reklamy środków na potencję, odchudzanie, porost włosów. Są też oferty finansowe, reklamy porno i darmowe usługi. 

Pozostałe zagrożenia odnotowywane w internecie

Do innych zarejestrowanych zagrożeń należały także: Brute Force, AFD (Arbitrary File Download), System Words oraz XSS (Cross-Site-Scripting). Jak zauważa H88:

Atak typu Brute Force polega na próbie „odgadnięcia” hasła do serwisu przez sprawdzenie wszystkich możliwych kombinacji. Z kolei atak AFD wykorzystuje lukę związaną z brakiem filtrowania zmiennej obsługującej pobieranie plików lub nadmierne uprawnienia w niewłaściwie skonfigurowanym serwerze – takie, które powodują pobranie dowolnego pliku

Z kolei system Words to atak określany również jako „path traversal”. Polega on na skanowaniu  podatności serwera na dostęp do plików systemowych przez wychodzenie do wyższego poziomu ścieżek systemowych. H88 w informacji o zagrożeniach opisuje go następująco:

Atakujący robi to wszystko z nadzieją, że natrafi na ścieżkę umożliwiającą odczyt ważnego pliku, np. zawierającego informacje o nazwach użytkowników i hasłach.

Piotr Romanowski

Miłośnik wszystkiego, co związane z nowymi technologiami. Kiedyś konsultant w branży telko; dziś działający głównie w sferze oprogramowania, a przy okazji niezmiennie zafascynowany wszystkim, co dotyczy technologii mobilnych oraz znaczenia internetu w codzienności.