V poslednom období sme zaznamenávali podstatný nárast počtu útokov na administráciu zákazníckych CMS. Najčastejšie ide logicky o tie najobľúbenejšie, teda o WordPress a Joomla. Útoky prebiehajú roboticky a hrubou silou sa pokúšajú prelomiť heslo do administrácie CMS. I keď má zákazník heslo dostatočne silné a k prolomeniu nedôjde, sú útoky natoľko intenzívne, že preťažovali hostingové servery a spôsobovali spomalenie či čiastočnú nedostupnosť webových služieb na postihnutom serveri.

Naviac ak má zákazník heslo slabé, útok bol skôr či neskôr úspešný a následne bol web zneužívaný na phishing, spomaľovanie alebo na kybernetické útoky na ďalšie ciele prípadne pre inú kriminálnu činnosť. (Pre voľbu vhodného hesla je možné odporučiť nasledujúce rady: http://www.jaknainternet.cz/page/1178/pocitacova-hesla/

Rýchle zásahy správcov hostingu zaistili elimináciu výpadkov, ale mali aj niektoré nepríjemné dopady na zákazníkov s postihnutými CMS, teda sme ich nemohli nechať nasadené na trvalo. V rámci činnosti nášho bezpečnostného tímu ACTIVE24-CSIRT, ktorý nerieši len následky podobných incidentov, ale taktiež adekvátne protiopatrenia a prevenciu, sme preto pristúpili k riešeniu tohto problému komplexnejšie.

Cieľom bolo celkom eliminovať čiastočné výpadky na platforme spôsobené týmito útokmi a maximálne redukovať riziko neautorizovaného prístupu do administrácie zákazníckeho CMS i v prípade, keď ju zákazník nemá sám dostatočne zabezpečenú a pritom nespôsobiť iné negatívne dopady na zákazníkov.

Špecifikum útokov bolo v tom, že meno a heslo nešlo považovať za dostatočnú autentizáciu k prístupu do administrácie CMS, pričom jediný údaj, ktorý sme okrem týchto dvoch poznali, bola klientská IP adresa. To nápadne pripomína situáciu, kedy sme pred rokmi riešili neautorizované prístupy na FTP s pomocou hesiel ukradnutých zákazníkom (viď http://www.root.cz/clanky/ftp-autorizace-na-web-hostingu-v-dobe-masoveho-vykradani-hesel/).
Zvolené protiopatrenie má preto velmi podobný charakter k tomu, které sme prijali na ochranu FTP účtov. Pri prístupe do administrácie napádaných CMS prevádzame geolokáciu IP adresy klienta a ak nie je z Českej či Slovenskej republiky, vyžadujeme dodatočnú basic autentizáciu, ktorá funguje v tomto prípade podobne ako captcha. To všetko je realizované na úrovni servera „nginx“, ktorý používame ako reverzné proxy na našich webových serveroch a nezaťažuje to teda samotný webový server apache či zákaznícku aplikáciu.

Efekt opatrení je zásadný, keďže útoky tohto typu od tej doby nemusíme vôbec riešiť a pritom väčšina zákazníkov nerozpozná žiadny rozdiel vo funkčnosti. Dôležité je, že opatrenie bolo nasadené implicitne všetkým a zároveň je ponechaná možnosť, nechať si ho na konkrétnom webe vypnúť, ak si zákazník svoj web zabezpečí sám iným spôsobom.

Článok pripravil Tomáš Hála, vedúci Linux administrátor ACTIVE 24