V poslední době jsme zaznamenávali podstatný nárůst počtu útoků na administraci zákaznických CMS. Nejčastěji jde logicky o ty nejoblíbenější, tedy o WordPress a Joomla. Útoky probíhají roboticky a hrubou silou se pokouší prolomit heslo do administrace CMS. I když má zákazník heslo dostatečně silné a k prolomení nedojde, jsou útoky natolik intenzivní, že přetěžovaly hostingové servery a způsobovaly zpomalení či dílčí nedostupnost webových služeb na postiženém serveru.
Navíc pokud má zákazník heslo slabé, útok byl dříve či později úspěšný a následně byl web zneužíván k phishingu, spamování nebo ke kybernetickým útokům na další cíle případně pro jinou kriminální činnost. (Pro volbu vhodného hesla lze jen doporučit následující rady: http://www.jaknainternet.cz/page/1178/pocitacova-hesla/)
Rychlé zásahy správců hostingu zajistily eliminaci výpadků, ale měly také některé nepříjemné dopady na zákazníky s postiženými CMS, tedy jsme je nemohli nechat nasazena trvale. V rámci činnosti našeho bezpečnostního týmu ACTIVE24-CSIRT, který neřeší jen následky podobných incidentů, ale také adekvátní protiopatření a prevenci, jsme proto přistoupili k řešení tohoto problému komplexněji.
Cílem bylo zcela eliminovat dílčí výpadky na platformě způsobené těmito útoky a maximálně redukovat riziko neautorizovaného přístupu do administrace zákaznického CMS i v případě, kdy ji zákazník nemá sám dostatečně zabezpečenu a přitom nezpůsobit jiné negativní dopady na zákazníky.
Specifikum útoků bylo v tom, že jméno a heslo nešlo považovat za dostatečnou autentizaci k přístupu do administrace CMS, přičemž jediný údaj, který jsme kromě těchto dvou znali, byla klientská IP adresa. To nápadně připomíná situaci, kdy jsme před lety řešili neautorizované přístupy na FTP s pomocí hesel ukradených zákazníkům (viz http://www.root.cz/clanky/ftp-autorizace-na-web-hostingu-v-dobe-masoveho-vykradani-hesel/).
Zvolené protiopatření má proto velmi podobný charakter k tomu, které jsme přijali k ochraně FTP účtů. Při přístupu do administrace napadaných CMS provádíme geolokaci IP adresy klienta a pokud není z České či Slovenské republiky, vyžadujeme dodatečnou basic autentizaci, která funguje v tomto případě podobně, jako captcha. To vše je realizováno na úrovni serveru „nginx“, který používáme jako reverzní proxy na našich webových serverech a nezatěžuje to tedy samotný webový server apache či zákaznickou aplikaci.
Efekt opatření je zásadní, neboť útoky tohoto typu od té doby nemusíme vůbec řešit a přitom drtivá většina zákazníků nepozná žádný rozdíl ve funkčnosti. Důležité je, že opatření bylo nasazeno implicitně všem a zároveň je ponechána možnost, nechat si jej na konkrétním webu vypnout, pokud si zákazník svůj web zabezpečí sám jiným způsobem.
Další informace najdete v naší nápovědě: http://napoveda.active24.cz/idx.php/0/654/article/