(http://image.ohozaa.com/i/c84/Z8r87K.jpg) (http://image.ohozaa.com/view2/wM2yJt7QBsQXLJRb)
credit: http://viruscom2.com/2013/%E0%B9%80%E0%B8%95%E0%B8%B7%E0%B8%AD%E0%B8%99%E0%B8%A0%E0%B8%B1%E0%B8%A2%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%82%E0%B8%88%E0%B8%A1%E0%B8%95%E0%B8%B5-wordpress-%E0%B8%97%E0%B8%B1%E0%B9%88%E0%B8%A7%E0%B9%82%E0%B8%A5%E0%B8%81-%E0%B9%81%E0%B8%AE%E0%B8%81%E0%B9%80%E0%B8%A7%E0%B9%87%E0%B8%9A%E0%B8%AB%E0%B8%B2%E0%B8%9E%E0%B9%88%E0%B8%AD%E0%B9%80%E0%B8%98%E0%B8%AD%E0%B8%AB%E0%B8%A3%E0%B8%B7%E0%B8%AD/
ความปลอดภัยใน WordPress เป็นสิ่งที่มีความสำคัญมากในการสร้างเว็บไซต์ แต่ตอนนี้ความปลอดภัยนั้นยิ่งทวีความสำคัญมากยิ่งขึ้นเพราะว่าได้มีการโจมตีเว็บไซต์ที่ใช้ WordPress มากยิ่งขึ้น ระดับการโจมตีในครั้งนี้ไม่ใช้แค่ดวงดีถึงจะเจอแต่ทุกคนมีสิทธิ์ที่จะโดนและตกเป็นเหยื่อได้อย่างทั่วถึง ไม่เว้นแม้แต่ Viruscom2 ก็โดนไปแล้วเช่นกัน (แค่โดนกระหน่ำแต่ไม่สำเร็จนะ รหัสผ่านเรายาว) อันตรายจากการโจมตีครั้งนี้รุนแรงถึงระดับขึ้นการยึดครองเว็บไซต์และยุติการให้บริการได้เลยทีเดียว
มีการโจมตีอย่างไร?ถ้าจะให้อธิบายแบบสั้นๆนั้นก็คือเครือข่าย Botnet
( เพิ่มเติม: BotNet ให้นึกถึงซอมบี้ที่ถูกสั่งโดยหมอผี BotNet เหมือนกันคือ เครือข่ายคอมพิวเตอร์ที่รับคำสั่งของแครกเกอร์ให้ดำเนินการต่างๆ เช่น การโจมตีเป็นต้น)
ที่ผิดกฎหมาย อาจจะเป็นหมื่น, เป็นแสนหรือเป็นล้าน ซึ่งพยายามที่จะทำการ brute-force attack เว็บที่ใช้งาน WordPress
(brute-force attack ถ้าให้อธิบายแบบง่ายๆนั้นก็คือการพยายามที่จะค้นหารหัสที่ถูกต้อง)
โดยเป้าหมายของการโจมตีครั้งนี้นั้นคือการพยายามที่จะค้นหาชื่อผู้ใช้และรหัสผ่านที่ถูกต้อง มันเหมือนกับว่ามีใครกำลังพยายามที่จะเดารหัสผ่านอยู่ แต่ในครั้งนี้นั้นมันไม่ได้เกิดขึ้นเพียงครั้งคราวแต่ว่ามันพยายามกันเป็นร้อยเป็นพันวินาทีโดยที่ไม่มีเหนื่อยหรือยุดพักเลย และนี้คือสิ่งที่ทำให้มันอันตราย
เป้าหมายของการโจมตีครั้งนี้คืออะไร?อย่างที่ได้อธิบายไปแล้วข้างต้นว่ามีการใช้งาน BotNet ในการโจมตี เป้าหมายจริงๆนั้นไม่มีใครรู้แน่ชัด แต่จากการสันนิษฐานคาดการณ์ว่าการโจมตีมีวัตถุประสงค์ที่จะ "เพิ่มขนาดและความแข็งแกร่งของเครือข่าย BotNet"
อย่างที่ได้บรรยายไปในตอนต้นแล้วนั้นว่า BotNet นั้นมีความอันตรายเป็นอย่างมากทั้งในเรื่องของการส่ง Spam, การทำให้เว็บไซต์ไม่สามารถที่จะใช้งานได้, การกระทำการทุจริต เป็นต้น ทุกวันนี้ BotNet นั้นได้กลายเป็นธุรกิจที่มีขนาดใหญ่แล้วและเป็นประเด็นสำคัญในเรื่องของความปลอดภัย ดังนั้นมันจึงเป็นความรับผิดชอบของเราผู้ที่มีส่วนเกี่ยวข้องกับเว็บไซต์ ที่ต้องพยายามอย่างสุดความสามารถที่จะป้องกันไม่ให้ระบบของเรากลายเป็นส่วนหนึ่งของปัญหา
แล้วอันเป็นภัยคุกคามต่อเราอย่างไร?ภัยคุกคามนั้นแบ่งได้เป็น 2 ส่วนนั้นก็คือ ภัยที่เกิดขึ้นจากการพยายามเข้าสู่ระบบ และภัยที่เกิดขึ้น ถ้าการเข้าสู่ระบบประสบความสำเร็จ
ในกรณีที่ 1 ความพยายามที่จะเข้าสู่ระบบ ในการเข้าสู่ระบบแต่ละครั้งนั้นระบบก็ต้องมีการใช้งานทรัพยากรเพื่อติดต่อฐานข้อมูลประมวลผลเว็บไซต์ และถ้าเกิดว่าความพยายามในการเข้าสู่ระบบนั้นมีมากภายในเวลาไม่กี่วินาที (อาจจะเป็นสิบ, ร้อย หรือพัน) ทรัพยากรที่ต้องถูกใช้งานนั้นมีมหาศาล ผลกระทบที่เกิดขึ้นนั้นจะเป็นเรื่องที่ต่อจากนี้ ผู้ให้บริการบางรายนั้นจะมีการระงับเว็บที่ใช้ทรัพยากรมากเกินไป และนี้ก็อาจจะทำให้ท่านนั้นสูญเสียทั้งเงินและเวลาในการจัดการกับปัญหานี้
ปล. ด้านซ้ายคือตอนช่วงที่ถูกโจมตีจะเห็นว่ามีการใช้งาน CPU ที่สูงมากและภายหลังจากที่ป้องกันก็กลับเข้าสู่ปกติ
และถ้าเกิดว่าในกรณีที่การเข้าสู่ระบบประสบความสำเร็จและได้สิทธิ์ Admin ทั้งเว็บไซต์และเซิฟเวอร์ก็ตกอยู่ในอันตราย ด้วยสิทธิ์ของ Admin นั้นผู้โจมตีสามารถที่จะเพิ่มไฟล์ใหม่เข้ามา, แก้ไขไฟล์ที่มีอยู่, การเพิ่ม Malware เข้าสู่เว็บไซต์ของเราหรือในกรณีที่เลวร้ายที่สุดก็จะถูกใช้เป็นฐานในการโจมตีที่อื่นต่อไป
แล้วรูปแบบของการโจมตีเป็นอย่างไร?ตอนนี้เรามีข่าวดีก็คือเรารู้รูปแบบของการโจมตีนั้นแล้ว จากการศึกษาปัญหาที่เกิดขึ้นจากการโจมตีเว็บไซต์ในครั้งนี้ พวกเราก็ได้เห็นว่ามากกว่า 99% ของการโจมตีในครั้งนี้นั้นเกิดขึ้นจากความพยายามเข้าสู่ระบบด้วยชื่อผู้ใช้ admin และมีบางครั้งที่พยายามใช้ชื่ออื่นเข้ามาประกอบด้วย เช่น administrator หรือ Admin น้อยครั้งนักที่จะใช้ชื่อเว็บไซต์ ยกตัวอย่างเช่น เว็บนี้คือ Viruscom2.com ผู้ที่โจมตีก็จะใช้ชื่อผู้ใช้ว่า viruscom2
ในส่วนของรหัสผ่านนั้นก็มีความพยายามที่จะคาดเดารหัสผ่านง่ายๆออกมา โดยใช้ธรรมชาติของคนที่ไม่ชอบจำอะไรยากๆ เราลองมาดูตัวอย่างของรหัสผ่านที่มีการใช้เป็นอย่างมากโดยเรียงตามลำดับจากความถี่
admin
admin123
123456
123123
123456789
password
1234
root
1234567
12345
qwerty
welcome
pass
abc123
12345678
1111
test
monkey
iloveyou
dragon
demo
จากที่เห็นนั้นก็คือมันก็เป็นคำที่ง่ายๆที่คนส่วนใหญ่มีแนวโน้มที่จะใช้
แล้วเราจะแก้ไขปัญหาอย่างไรดี?โชคดีความพยายามที่จะใช้ Brute force login นั้นที่ไม่ใช่เรื่องที่ใหม่อะไร เทคนิคการโจมตีนี้ได้ถูกใช้มาอย่างยาวนานตั้งแต่ WordPress มี ในที่นี้เราจะมาดูวิธีการแก้ไขปัญหานี้กัน
การไม่ใช้ชื่อ admin
การใช้รหัสผ่านที่ยาก ความยาวขึ้นต่ำคือ 8 ตัวอักษร ควรที่จะมีตัวเลข, ตัวอักษร, และเครื่องหมายผสมกันไป
การป้องกันปัญหาทางด้านประสิทธิ์ภาพ CloudFlare เป็นหนึ่งในเครื่องมือที่จะช่วยเราได้แบบชะงัก
การติดตั้งปลั๊กอิน Login LockDown เพื่อใช้ในการต่อกรกับพวกที่โจมตี โดยปลั๊กอินนี้จะทำหน้าที่ในการจำกัดจำนวนครั้งในการเข้าสู่ระบบ ทำให้เป็นไปไม่ได้สำหรับการที่จะใช้ BotNet จำนวนมากเข้ามาหระหน่ำกรอกชื่อผู้ใช้และรหัสผ่าน
ตอนนี้ไม่มีอะไรจะพูดแล้วนอกจากอยากบอกว่า โชคดีเว้ย!
ต้องลงคาถา มหาอุด
เอาแล้วไง
เว็บผมเกือบทั้งหมด ใช้ wp ทั้งนั้น :wanwan012:
เสี่ยง แต่ก็ยังรัก WP :D
หลังลง WP อย่าลืมลง wp-login-recaptcha กับ wp-recaptcha ไว้กัน BF นะครับ
บังคับให้ใส่ reCAPTCHA ตอน login เท่านี้ก้อไม่มีปัญหาจาก BF
ถ้าเปิดให้ user คอมเม้นได้โดนไม่ต้อง login ยังกันพวก Automate spam ด้วยครับ
(http://i1-scripts.softpedia-static.com/screenshots/WP-Login-reCAPTCHA_1.png)
ขอบคุณครับ :wanwan017:
wordpress เปลี่ยนเส้นทาง เข้าระบบ Admin ได้ไหมครับ จาก wp-admin เป็นอย่างอื่น
ขอบคุณสำหรับข้อมูลมากค่ะ :wanwan017:
เป็นข้อมูลที่มีประโยชน์มาก
ขอบคุณครับ
ขอบคุณครับสำหรับข้อมูลดีๆ :-[
ขอบคุณสำหรับข้อมูลด้วยนะคะ +1ให้ค่ะ
ขอบพระคุณครับ.. :wanwan017:
อ้างถึงจาก: bunnachart ใน 17 เมษายน 2013, 08:15:34
wordpress เปลี่ยนเส้นทาง เข้าระบบ Admin ได้ไหมครับ จาก wp-admin เป็นอย่างอื่น
ลองดูตัวนี้
http://wordpress.org/extend/plugins/lockdown-wp-admin/ น่าจะตรงกับความต้องการท่าน
ไม่งั้นก็แก้ .htaccess บรรทัดแรกๆใส่
RewriteRule ^login$ http://yoursite.com/wp-login.php [NC,L]แต่ถ้าเปลี่ยน login url แล้ว scan เจอหน้า login ก้อกัน BF ไม่ได้อยู่ดีครับถ้าไม่ใช้พวก Captcha ช่วย
ขอบคุณสำหรับข่าวสารคับ :wanwan017:
ขอบคุณครับ
ถ้าไม่ใช้ ชื่อ admin ได้อย่าใช้ครับ
แต่พูดถึง BotNet คิดถึง Program scanVIRUS ในตำนาน
:wanwan004:
เฮ้อ ทำอะไรก็อันตรายไปหมดเล๊ย
รับทราบครับ :wanwan003:
ขอบคุณครับ :wanwan017:
สุ่มรหัสลองนี้ครับ
http://strongpasswordgenerator.com/
กระทู้มีประโยชน์มากเลยครับ
ไปทดสอบกันที่อื่นไม่ได้เหรอไง :P
ขอบคณครับ ปกติแล้วผมใช้ joomla ลองใช้ wordpress แล้ว ถ้าทำเทรมเพลตเองสนุกครับ ถ้าเอามาแก้อีกทีนี่งงๆ เลยทีเดียว
น่ากลัวครับพวกนี้ :wanwan009:
รู้ไว้ก่อนเป็นดีครับ
+1 ให้ครับ สำหรับความรู้ดีๆ ครับ
และขอบคุณสำหรับ PLUGIN Login LockDown ที่แนะนำครับ
ขอบคุณครับ
:wanwan017: :wanwan017: :wanwan017:
มันแฮคไปเพื่ออะไรครับอยากรู้จริงๆ
ขอบคุณครับ :wanwan017:
ต้องเอาไปป้องกันมั้งแล้ว ชักเสียว ของผม WP ทั้งนั้นเลย :wanwan009:
ขอบคุณมากๆครับ
โดนใจหัวข้อกระทู้
อ้างถึงจาก: ~บอล~ ใน 17 เมษายน 2013, 03:47:28
ต้องลงคาถา มหาอุด
ต้องแถมคงกระพันไปด้วยไม่งั้นเอาไม่อยู่ :-[ :-[
อ้างถึงจาก: ReleaseCandidate ใน 17 เมษายน 2013, 07:39:45
หลังลง WP อย่าลืมลง wp-login-recaptcha กับ wp-recaptcha ไว้กัน BF นะครับ
บังคับให้ใส่ reCAPTCHA ตอน login เท่านี้ก้อไม่มีปัญหาจาก BF
ถ้าเปิดให้ user คอมเม้นได้โดนไม่ต้อง login ยังกันพวก Automate spam ด้วยครับ
(http://i1-scripts.softpedia-static.com/screenshots/WP-Login-reCAPTCHA_1.png)
อันนี้ก็เจ๋ง hacker เงิบแน่ 555+
อ้างถึงจาก: bunnachart ใน 17 เมษายน 2013, 08:15:34
wordpress เปลี่ยนเส้นทาง เข้าระบบ Admin ได้ไหมครับ จาก wp-admin เป็นอย่างอื่น
ได้นะจัดไปตามนี้เลย
http://www.youtube.com/watch?v=dNqlOBKLNDM
อ้างถึงจาก: reviewer ใน 17 เมษายน 2013, 09:47:21
ถ้าไม่ใช้ ชื่อ admin ได้อย่าใช้ครับ
แต่พูดถึง BotNet คิดถึง Program scanVIRUS ในตำนาน
:wanwan004:
อย่าไปกล่าวถึงท่านผู้นั้นเลย ว่าแต่ว่าพักนี้หายไปไหนหว่าไม่ค่อยเห็นเลย :wanwan004: :wanwan004:
อ้างถึงจาก: yen032 ใน 17 เมษายน 2013, 10:18:46
ขอบคุณครับ :wanwan017:
สุ่มรหัสลองนี้ครับ
http://strongpasswordgenerator.com/
ยาวได้ใจจริงๆ
อ้างถึงจาก: dioryz ใน 17 เมษายน 2013, 12:11:54
มันแฮคไปเพื่ออะไรครับอยากรู้จริงๆ
BotNet เป็นธุรกิจครับ สามารถที่จะนำไปขายได้ ยิ่งวงใหญ่ยิ่งมีอำนาจและเป็นแหล่งที่สร้างรายได้มหาศาล นั้นแหละครับคือเป้าหมายของการโจมตีในครั้งนี้ :P :P
BotNet เป้นธุระกิจสีดำที่ทำเงินใช้ได้เลยนะครับ
ไม่นานมานี้มีเด็กสองพี่น้อง 16 กับ 19 จากเนเธอร์แลนด์
ให้เช่า Botnet 100,000 ตัว ราคาเช่า 25,000€
แต่โดนรวบทั้งคนซื้อคนขาย
http://www.eweek.com/c/a/Security/Brazilian-Man-Charged-in-Botnet-Conspiracy/
http://www.zdnet.com/news/fbi-dutch-police-crack-the-shadow-botnet/216237
BotNet ใช้ทำอะไรต่อได้บ้างคร่าวๆก็อย่างในรูปเลยครับ
(http://www.securelist.com/en/images/vlpub/ynam_botnets_0906_pic02_en.png)
ขอบคุณมากครับ สำหรับข้อมูลดีๆ และ plugin แจ่มๆ
โดนไปเรียบร้อยครับ มันใช้เว็บผมทำ phishing site :'(
ลองใช้ปลั๊กอิน WP security scan ช่วยเช็คเว็บก็ดีนะครับ
มันเช็คช่องโหว่เล็กๆน้อยๆค่อนข้างละเอียดเลยทีเดียว
น่ากลัวแท้ๆๆ
น่ากลัวแท้หลา
ขอบคุณคร้าบบ มีประโยชน์มากๆเลย
ท่าทางจะโดน
VPS เช่าไว้ทำอเมซอน
วันนี้เข้าไม่ได้
เปิดโปรแกรม htop เช็คดู ปรากฏว่า cpu โหลด 100% ตลอดเลย
ตอนนี้ Offline ไปซะแล้ว
น่ากลัวๆๆ :wanwan035:
พาสเวิด ภาษาไทยช่วยได้ระดับ 1
สาระน่าแชร์ ขอบคุณครับ :wanwan017:
ถ้าจะแจกโปรแกรมช่วย genpassword จะได้ไหมนี่ ช่วยกันอีกแรง
อ้างถึงจาก: ReleaseCandidate ใน 17 เมษายน 2013, 16:24:33
BotNet เป้นธุระกิจสีดำที่ทำเงินใช้ได้เลยนะครับ
ไม่นานมานี้มีเด็กสองพี่น้อง 16 กับ 19 จากเนเธอร์แลนด์
ให้เช่า Botnet 100,000 ตัว ราคาเช่า 25,000€
แต่โดนรวบทั้งคนซื้อคนขาย
http://www.eweek.com/c/a/Security/Brazilian-Man-Charged-in-Botnet-Conspiracy/
http://www.zdnet.com/news/fbi-dutch-police-crack-the-shadow-botnet/216237
BotNet ใช้ทำอะไรต่อได้บ้างคร่าวๆก็อย่างในรูปเลยครับ
(http://www.securelist.com/en/images/vlpub/ynam_botnets_0906_pic02_en.png)
25000 eur และขายออก โคตรน่าสน 555+
อ้างถึงจาก: UnzO ใน 17 เมษายน 2013, 18:57:56
โดนไปเรียบร้อยครับ มันใช้เว็บผมทำ phishing site :'(
แว๊ก! ตั้งรหัสผ่านง่ายหรือครับเลยโดน
อ้างถึงจาก: darksammer ใน 17 เมษายน 2013, 19:09:25
ลองใช้ปลั๊กอิน WP security scan ช่วยเช็คเว็บก็ดีนะครับ
มันเช็คช่องโหว่เล็กๆน้อยๆค่อนข้างละเอียดเลยทีเดียว
น่าสน บทความหน้าเอาปลั๊กอินนีมารีวิวดีกว่า ^^
อ้างถึงจาก: Oohlala ใน 17 เมษายน 2013, 20:31:19
ท่าทางจะโดน
VPS เช่าไว้ทำอเมซอน
วันนี้เข้าไม่ได้
เปิดโปรแกรม htop เช็คดู ปรากฏว่า cpu โหลด 100% ตลอดเลย
ตอนนี้ Offline ไปซะแล้ว
โดนเหมือนกันเลยรีบลงปลั๊กอินนะช่วยได้เยอะ ^^
อ้างถึงจาก: jar2548 ใน 17 เมษายน 2013, 21:29:13
ถ้าจะแจกโปรแกรมช่วย genpassword จะได้ไหมนี่ ช่วยกันอีกแรง
ได้ๆๆ มาช่วยกันคนลัไม้ละมืในการสยบ hackrr กัน ^^
ขอบคุณครับ :wanwan017:
ต้องตั้งรหัสผ่านยากๆยาวๆกันไว้ด้วยเน้อ
ถ้าใช้ ชื่อกระทู้ว่า [เตือนภัย] การโจมตี WordPress ทั่วโลก ด้วย brute-force attack
ผมว่าใช้ว่า Form login ทั่วโลกเถอะครับ
brute-force attack ไม่ได้ทำได้เฉพาะ Workpress ครับ
แต่งง ว่าทำไม จขกท. เพ่งไปแค่ เพียง Wordpress เพียงเว็บเดียว :(
เข้ามาฮาคำว่า (แฮกเว็บหาพ่อเธอหรือ?) :wanwan024: :wanwan024:
ผมว่าถ้า Hack โดยเดา Password ง่ายๆ แบบนี้ไม่ค่อยน่ากลัวเท่าไหร่ มีวิธีป้องกันหลายวิธี
แต่ถ้าสามารถ Hack โดยที่เราตั้ง Password ยากๆได้นี่คงอยู่กันไม่ได้ล่ะครับ :wanwan009:
เพิ่งโดนไป มันเขียนscript แทรกเข้ามาในเว็บเรา programe virus แสกนไฟล์ไม่เจอ เพราะตัวไฟล์ไม่ใช่ไวรัส แต่ลิงค์ที่มันแทรกเข้ามา พาไปหาเว็บที่ปล่อยไวรัสอีกที
แต่สังเกตุว่าเว็บที่โดน เวลาเปิดบางครั้งโปรแกรมสแกนไวรัสมันจะบอกว่าเจอโทรจัน อะไร ไม่แน่ใจ เพราะเพิ่งเคยโดนเหมือนกัน การแก้ไข บางคนบอกให้ทำเว็บใหม่เลย เพราะมานั่งหาไฟล์ที่มันแอบแทรกเข้ามา ไม่รู้ว่าอยู่ตรงไหนบ้าง
ขอบคุณครับที่เอามาแบ่งปัน ยังไงก็กันไว้ดีกว่าแก้ เดี๋ยวไปลงปั๊กอินดีกว่า เว็บเคยโดนไวรัสมาละ กว่าจะแก้ได้ตั้งนานเสียเวลาทำมาหากินไปป่าวๆ
ตายหล่ะวา password เราตั้งปัญญาอ่อนไว้ซะด้วยสิ
:wanwan009:
เตรียมป้องกันก่อน ขอบคุณมากค่ะ
อ้างถึงจาก: iak1 ใน 18 เมษายน 2013, 13:11:52
ถ้าใช้ ชื่อกระทู้ว่า [เตือนภัย] การโจมตี WordPress ทั่วโลก ด้วย brute-force attack
ผมว่าใช้ว่า Form login ทั่วโลกเถอะครับ
brute-force attack ไม่ได้ทำได้เฉพาะ Workpress ครับ
แต่งง ว่าทำไม จขกท. เพ่งไปแค่ เพียง Wordpress เพียงเว็บเดียว :(
อืม มีการโจมตี cms อื่นหนักๆด้วยหรือครับ ยังไงก็ขอข้อมูลด้วยนะครับผมจะไปเพิ่มในเว็บ :wanwan019:
เว็บไหนที่มี Login ก็โดนเหมือนกันหมดครับ
จะหาเว็บที่มีระบบ Login ไม่ยากเลย เพียงแค่จะถึงคิวเราเมื่อไหร่แค่นั้น ไม่ว่าจะเป็น Script อะไรก็ตาม
คร่าวๆ login.php, index.php?action=login, wp-login.php และอื่นๆอีกมากมาย
อ้างถึงจาก: iak1 ใน 18 เมษายน 2013, 13:11:52
ถ้าใช้ ชื่อกระทู้ว่า [เตือนภัย] การโจมตี WordPress ทั่วโลก ด้วย brute-force attack
ผมว่าใช้ว่า Form login ทั่วโลกเถอะครับ
brute-force attack ไม่ได้ทำได้เฉพาะ Workpress ครับ
แต่งง ว่าทำไม จขกท. เพ่งไปแค่ เพียง Wordpress เพียงเว็บเดียว :(
และก็ที่เลือกมาในครั้งนี้ที่เจาะจงว่าเป็น wordpress เท่สนั้นเพราะเป้าหมายดารโจมตีละลอกนี้คือ wordpress ครับผม