mensmaximus Ihr IT-Supervisor

WordPress Botnet Angriff der besonderen Art

In meinem Beitrag zum Angriff gegen WordPress ab 28.9.2015 habe ich bereits einige technische Informationen einfließen lassen. Mit dem Fortschreiten der Attacke habe ich zusätzliche Einsichten gewonnen.

Hohe Anzahl böswilliger Aktivitäten

Das TEAM CYMRU stellt auf seiner Homepage verschiedene grafische Auswertungen für „malicious activity“ bereit. Auf dem folgenden Video ist der Zeitraum vom 2.9. bis 1.10.2015 zusehen. Interessant wird es ab 21.9.2015 mit einem kurzen Anstieg für 24 Stunden, dann ein Tag Pause, am 23.9. ein erneuter Anstieg und ab 28.9. wird es noch etwas bunter. Der 28.9. ist exakt der Tag an dem meine Überwachung  den Angriff auf diverse WordPress Installationen meldete.

Hier handelt es sich wohlgemerkt nicht nur um WordPress Angriffe, sondern um grundsätzlich als böswillig eingestufte Aktivitäten.

Ungewöhnliches Angriffsmuster für eine Brute-Force-Attacke

Wie in meinem Beitrag vom 28.9. geschildert unterscheidet sich dieser WordPress Angriff von den sonst üblichen Brute-Force-Attacken. Normalerweise versuchen sich Angreifer mehrfach hintereinander mit wechselnden Benutzernamen in WordPress anzumelden. Sicherheitsplugins wie Sucuri, WordFence oder All In One WP Security zählen die Anmeldeversuche und sperren die IP-Adressen ab einer bestimmten Anzahl von Fehlversuchen aus. Die Dauer der Sperre, die Anzahl der Fehlversuche und den Zeitraum für die Messung kann der WordPress Administrator frei festlegen. Tut er dies nicht, gilt meist ein voreingestellter Wert von 3 fehlerhaften Anmeldungen innerhalb 5 Minuten als Auslöser. Das funktioniert aber nur wenn die Zugriffe von der gleichen IP Adresse kommen. Im vorliegenden Fall ist das anders. Wie berichtet wird von einer IP Adresse genau einmal auf die wp-login.php von WordPress zugegriffen. Der Fehlversuch wird auch korrekt von den unterschiedlichen Sicherheitsplugins erkannt, eine Sperre erfolgt jedoch nicht, da die Grenzwerte nicht erreicht werden.

Welche Absicht steckt hinter dem Angriff

  • Als Brute-Force-Attacke fällt dieser Angriff auf WordPress durch, denn die Frequenz ist zu gering und es werden auch nur 3 verschiedene Benutzernamen verwendet: admin, administrator und der Domainname der WordPress Seite ohne die Domainendung. Daran ändert auch die Tatsache nichts, dass diese Anmeldeversuche von tausenden von IP Adressen erfolgen.
  • Eine DDOS Attacke, also der Versuch eine Webseite durch übermäßig viele Zugriffe lahmzulegen, kommt auch nicht in Betracht, denn dafür sind es viel zu wenige Zugriffe (zwischen 600 und 5000 pro Tag) mit viel zu langen Abständen (zwischen 21 Sekunden und 11 Minuten) und viel zu wenig Last (die Anmeldeseite ist winzig).
  • Für eine Spionageaktion, also um herauszufinden welche Seiten mit WordPress erstellt wurden, eignet sich der Angriff auch nicht sonderlich, denn das würde man doch „leise“ machen und nicht über mehrere Tage von tausenden Adressen.
  • Das Ausnutzen eines Exploits kann man ebenfalls ausschließen, zwar wäre mit der XSS Sicherheitslücke im Jetpack just zu diesem Zeitpunkt eine solche gegeben, aber die Zugriffe enthalten nicht die dafür notwendigen Datenmuster.
  • Ein Ablenkungsmanöver für einen anderen, größeren Angriff ist ebenfalls nicht zu erkennen. Weder von den aufgezeichneten IP Adressen noch von anderer Stelle gibt es einen Parallelangriff gegen WordPress.

Kein versehentlicher Angriff

Auch wenn sich der Sinn des Angriffs zunächst nicht zu erschließen scheint, handelt es sich dennoch nicht um ein Versehen. Innerhalb von 4 Tagen habe ich über 5000 unterschiedliche IP-Adressen aufgezeichnet von denen nur rund 4% zweimal aufgetaucht sind. Diese Adressen stammen aus über 4000 unterschiedlichen Netzen, was ungewöhnlich ist. Ungewöhnlich ist auch die Verteilung der Netze. Zu Beginn kamen die Zugriffe aus kleinen Netzen (/23, /24), doch im Laufe der Zeit wurden die Prefixe immer größer. Nach 4 Tagen waren es dann /11 bis /14 aber auch hier nur eine oder zwei IP Adressen. Wie groß ist die Wahrscheinlichkeit das in einem Netz mit 2.097.150 Adressen nur ein oder zwei Server gehackt wurden wenn doch bereits in einem Netz mit 254 Adressen ein Server gehackt wurde. Normalerweise ist der prozentuale Anteil an infiltrierten Maschinen pro Netz fast identisch. Ebenfalls seltsam ist das Verhältnis Prefixe zu AS Nummern mit 3:2 sowie der Ursprung der Adressen mit rund 83% aus Russland und 8% aus der Ukraine. Die restlichen 9% verteilen sich auf 12 weitere Länder rund um den Globus. Viele der Adressen gehören zu sogenannten Exit-Nodes eines Tor Netzwerkes, die klassisch dazu genutzt werden die Herkunft eines Angreifers zu verschleiern. Ob der Angriff gegen die WordPress Installationen also tatsächlich aus diesen Ländern gestartet wurde ist fraglich.

Niemand plant einen mehrtägigen Angriff ohne Grund. Folgt man den Worten von Mr. Spock, „wenn man das Unmögliche ausschließt, muss, was auch immer bleibt, die Wahrheit sein„, bleibt wohl nur eine Möglichkeit übrig: Politik. Provider entfernen bei lang andauernden Attacken zum Schutz der Infrastrukturen durch „Blackholing“ ganze Netze aus den Routern, was dann dazu führt das aus diesen Netzen viele Ziele nicht mehr erreichbar sind. Aber auch die WordPress Administratoren blockieren ganze Netze via Firewall oder .htaccess Datei. Diese Cyberattacke ist kaum geeignet echten Schaden an fremdem WordPress Systemen anzurichten. Wenn aber durch diese Aktion große Teile der russischen und ukrainischen Netze isoliert werden, können diese Länder das Internet nur noch eingeschränkt nutzen. Stellt sich nur noch die Frage wer davon profitiert und wer von welchen Informationen abgeschnitten werden soll?

 

Achtung! Dieser Beitrag ist älter als 6 Monate. Daher ist es möglich, dass die enthaltenen Informationen nicht mehr gültig sind.

WordPress Experte und SpezialistAls WordPress Entwickler mit 11 Jahren Erfahrung unterstütze ich Unternehmer bei der Erstellung von Applikationen und Webseiten auf der Basis von WordPress. Als WooCommerce Spezialist konzentriere ich mich auf e-Commerce Anwendungen mit WordPress. Auf meiner Know-How Seite erfahren Sie mehr über mich.