SANS okuyucularından biri sanal sunucuların (VPS) birinde bariz bir şekilde hizmet anlaşmasını (TOS) ihlal eden bir kullanıcıya ait çok ilginç bir script bulmuş. Script aşağıdaki resimde de görüldüğü gibi PHP dilinde yazılmış ve Wordpress admin hesaplarını kırmak için brute force şifre kırma denemeleri yapıyor.
wp_brute_attempt() fonksiyonu 3 parametre alıyor, cURL (HTTP istekleri yapmada kullanılabilen bir komut satırı aracı) structure olan $ch. Diğer iki parametre site ve denenecek şifreyi tanımlıyor. Eğer script login işleminde başarı olursa, sunucudan dönen sayfada "Log Out" geçiyorsa, fonksiyon doğru dönüyor.
Script'in ilginç olan yanı ise dağıtık (distributed) şifre kırma özelliği sağlaması. Veriler bir MySQL veritabanına kaydediliyor ve script direk olarak ana veritabanına bağlanıyor. Bu sayede saldırgan aynı anda birden fazla - her biri 200 yeni URL alıp brute force yapanın ID'sini ($colo) alıyor - script çalıştırabiliyor. Bu bölüm aşağıda gösteriliyor:
Script daha sonra bir şifre scriptinden şifreleri alarak her bir sitede deniyor. Hatta script durdurulup tekrar çalıştırıldığında kaldığı yerden devam edebiliyor.
Bu sürümü oldukça basit olsa da, script'in gücü ve MySQL veritabanı saldırıları sadece siteler olarak değil aynı zaman da denenen şifreler olarak da dağıtabiliyor.
Son olarak, eğer Wordpress (veya başka bir blog aracı) kullanıyorsanız, admin arayüzüne erişimi mümkün olduğunca kısıtlayın. Güçlü şifre seçimi, admin kullanıcı adının mümkünse değiştirilmesi ve erişimin IP adreslerine kısıtlanması gibi önlemlerle kısıtlayın.
Wordpress brute force saldırıları zaten bir süredir yapılıyordu (SSH brute force saldırılarına benzer olarak), bu da gelecekte saldırganların bu tip gelişmiş teknikleri diğer servisler için de kullanabileceği anlamına geliyor.
http://isc.sans.org/diary.html?storyid=7663
wp_brute_attempt() fonksiyonu 3 parametre alıyor, cURL (HTTP istekleri yapmada kullanılabilen bir komut satırı aracı) structure olan $ch. Diğer iki parametre site ve denenecek şifreyi tanımlıyor. Eğer script login işleminde başarı olursa, sunucudan dönen sayfada "Log Out" geçiyorsa, fonksiyon doğru dönüyor.
Script'in ilginç olan yanı ise dağıtık (distributed) şifre kırma özelliği sağlaması. Veriler bir MySQL veritabanına kaydediliyor ve script direk olarak ana veritabanına bağlanıyor. Bu sayede saldırgan aynı anda birden fazla - her biri 200 yeni URL alıp brute force yapanın ID'sini ($colo) alıyor - script çalıştırabiliyor. Bu bölüm aşağıda gösteriliyor:
Script daha sonra bir şifre scriptinden şifreleri alarak her bir sitede deniyor. Hatta script durdurulup tekrar çalıştırıldığında kaldığı yerden devam edebiliyor.
Bu sürümü oldukça basit olsa da, script'in gücü ve MySQL veritabanı saldırıları sadece siteler olarak değil aynı zaman da denenen şifreler olarak da dağıtabiliyor.
Son olarak, eğer Wordpress (veya başka bir blog aracı) kullanıyorsanız, admin arayüzüne erişimi mümkün olduğunca kısıtlayın. Güçlü şifre seçimi, admin kullanıcı adının mümkünse değiştirilmesi ve erişimin IP adreslerine kısıtlanması gibi önlemlerle kısıtlayın.
Wordpress brute force saldırıları zaten bir süredir yapılıyordu (SSH brute force saldırılarına benzer olarak), bu da gelecekte saldırganların bu tip gelişmiş teknikleri diğer servisler için de kullanabileceği anlamına geliyor.
http://isc.sans.org/diary.html?storyid=7663