Báo cáo này bao gồm 25 địa chỉ IP tấn công hàng đầu cho tháng 3 và các chi tiết của họ. Nó cũng bao gồm các biểu đồ của hoạt động tấn công vũ lực và hoạt động tấn công phức tạp cho giai đoạn này. Chúng tôi cũng bao gồm các chủ đề và plugin hàng đầu đã bị tấn công và quốc gia nào tạo ra nhiều cuộc tấn công nhất trong giai đoạn này.
Một trong những điểm dữ liệu gây ngạc nhiên hơn trong báo cáo này là sự gia tăng của Algeria như một nguồn tấn công. Sau khi tạo báo cáo này, chúng tôi đào sâu hơn một chút và sẽ phát hành thêm những phát hiện của chúng tôi về Algeria vào tuần tới.
25 địa chỉ IP bị tấn công hàng đầu
Tôi đã bao gồm cách giải thích thông thường về cách thức bảng dưới đây hoạt động. Nếu bạn quen thuộc với các báo cáo tấn công của chúng tôi, bạn có thể bỏ qua bảng dưới đây chứa dữ liệu tháng hai và đọc các nhận xét của tôi theo bảng.
Giới thiệu tóm tắt nếu bạn là người mới xem các báo cáo này
Trong bảng dưới đây, chúng tôi đã liệt kê các IP tấn công hoạt động mạnh nhất vào tháng 2 năm 2017. Lưu ý rằng cột 'Attacks' là hàng triệu và là tổng số của tất cả các tấn công bắt nguồn từ mỗi IP. Ở phía bên phải của bảng (bạn có thể phải di chuyển sang phải), chúng tôi sẽ giải quyết các cuộc tấn công vào các cuộc tấn công 'brute force' và các cuộc tấn công 'phức tạp'.
Các cuộc tấn công bạo lực là các cuộc tấn công đoán đoán đăng nhập. Những gì chúng ta gọi là các cuộc tấn công "phức tạp" là các cuộc tấn công bị chặn bởi một quy tắc trong tường lửa Wordfence.
Chúng tôi cũng đã bao gồm chủ sở hữu netblock, đó là tổ chức, thường là một công ty, sở hữu khối địa chỉ IP mà IP tấn công thuộc về. Bạn có thể Google tên của chủ sở hữu để biết thêm thông tin. Tìm kiếm của Google cho bất kỳ địa chỉ IP nào trong số những địa chỉ IP này thường xuyên hiển thị các báo cáo về các cuộc tấn công.
Tên máy chủ bao gồm là bản ghi PTR (bản ghi DNS ngược) mà chủ sở hữu địa chỉ IP được tạo cho IP của họ, vì vậy đây không phải là dữ liệu đáng tin cậy nhưng chúng tôi đưa nó vào danh sách quan tâm. Ví dụ: chúng tôi đã thấy các bản ghi PTR xác nhận IP là nút thoát của Tor nhưng rõ ràng không phải dựa trên lưu lượng truy cập.
Chúng tôi cũng bao gồm cả quốc gia và cờ quốc gia. Ở bên phải của báo cáo chúng tôi hiển thị ngày tháng 3 khi chúng tôi bắt đầu ghi lại các cuộc tấn công và các cuộc tấn công ngày ngừng. Đối với nhiều người trong số các IP này, chúng tôi đã đăng nhập các cuộc tấn công trong cả tháng. Đối với một số bạn có thể thấy có một cuộc tấn công được xác định rõ ràng 'cửa sổ', nơi IP bắt đầu và dừng lại.
Các IP tấn công hàng đầu
Hai vị trí hàng đầu tấn công IP của chúng tôi là ở Nga và Ukraine tương ứng. Cả hai đều chỉ tung ra các cuộc tấn công phức tạp trên WordPress. IP hàng đầu của chúng tôi đã tăng gấp đôi các cuộc tấn công từ 7 đến 15 triệu cuộc tấn công. Địa điểm IP thứ hai của chúng tôi đã đi từ 7 đến 12 triệu cuộc tấn công mỗi tháng.
Tổng số các cuộc tấn công phức tạp từ 25 IP hàng đầu đã đi từ 63 triệu trong tháng hai đến 85 triệu vào tháng ba. Tổng số các cuộc tấn công bạo lực từ 25 khu công nghiệp hàng đầu tăng từ 18 triệu trong tháng hai lên 32 triệu trong tháng ba. Điều này cho thấy sự gia tăng mức độ mạnh mẽ của 25 IP hàng đầu này là các trang web tấn công.
Nếu chúng ta tập hợp 25 IP tấn công hàng đầu theo quốc gia, thì rõ ràng Ukraine là nguồn đầu tiên cho các cuộc tấn công. Chúng tôi cũng có một số lượng đáng kể số IP tấn công hàng đầu từ Thổ Nhĩ Kỳ vào tháng 3.
Tấn công Brute Force trên WordPress vào tháng 3 năm 2017
Biểu đồ dưới đây cho thấy hoạt động tấn công bạo lực trên các trang web WordPress mà chúng tôi theo dõi trong tháng 3.
Chúng tôi thấy một sự gia tăng nhẹ trong các cuộc tấn công trung bình hàng ngày từ 30 triệu vào tháng Hai đến 34 triệu vào tháng Ba. Không phải là một thay đổi lớn, do đó, nói chung tần số tấn công và hoạt động là khá ổn định. Vào tháng 2, chúng tôi thấy hoạt động tăng mạnh kéo dài trong cuối tháng. Chúng tôi không thấy rằng trong tháng ba cho các cuộc tấn công vũ lực tàn bạo.
Các cuộc tấn công phức tạp trên WordPress vào tháng 3 năm 2017
Biểu đồ dưới đây cho thấy các cuộc tấn công phức tạp (các cuộc tấn công cố gắng khai thác lỗ hổng) cho tháng 3 năm 2017.
Các vụ tấn công trung bình hàng ngày tăng từ 3,4 triệu trong tháng hai đến 3,8 trong tháng ba. Vào tháng 2, đồ thị tấn công khá ổn định trong suốt tháng. Tháng 3 có sự tăng đột biến vào đầu tháng đó nhanh chóng giảm xuống.
Once the spike subsided, we saw a sustained period of relative calm with only 3 million attacks per day and then a gradual pick-up later in the month.
Attacks on Themes in March 2017
The table below shows the total number of attacks on WordPress themes. We identify each theme using it’s ‘slug’ which is the directory in which it is installed in WordPress.
There is some movement in the rankings, but for the most part the same themes are being targeted.
One interesting change we noted is that for the month of March, the attacks are more spread out. Below we generate a graph showing the “long tail” of attacks on themes. We have created a distribution from left to right of the most attacked themes to the least attacked. It creates a curve which is commonly known as a “long tail” among statisticians.
Như bạn thấy, trong tháng 3, đuôi dài dẹp ra vì chúng ta thấy các cuộc tấn công được phân bố đều theo các chủ đề hơn là tập trung vào một số ít các chủ đề thường bị tấn công.
Tấn công vào các Plugins vào tháng 3 năm 2017
Bảng dưới đây cho thấy các cuộc tấn công mà chúng tôi thấy trên các plugin trên các trang web mà Wordfence bảo vệ. Như với các chủ đề, chúng tôi xác định mỗi plugin bằng 'slug' duy nhất của nó, đây là thư mục cài đặt duy nhất mà plugin được cài đặt.
Danh sách các plugin được nhắm mục tiêu đã có một số xáo trộn, nhưng như bạn thấy, tất cả các plugin trong danh sách đều là các mục tiêu tấn công được biết đến phổ biến trong 50 plugin tấn công hàng đầu cho WordPress.
Nếu chúng ta nhìn vào phân bố đuôi dài cho các plugin chúng ta có thể thấy rằng sự phân bố tấn công không thay đổi nhiều và vẫn còn tương tự như tháng Hai.
Các cuộc tấn công theo quốc gia vào tháng 3 năm 2017
Bảng dưới đây cho thấy 25 quốc gia hàng đầu tấn công bắt nguồn từ tháng 3 trên các trang web WordPress mà chúng tôi giám sát. Điều đáng ngạc nhiên nhất trong danh sách này là sự xuất hiện đột ngột của Algeria như là một nguồn tấn công. Trong báo cáo trước của chúng tôi, Algeria đã được xếp hạng cách xuống tại 60 cho tổng số các cuộc tấn công.
Chúng tôi sẽ đăng một bài đăng tiếp theo giải thích tại sao Algeria đột ngột nhảy lên bảng xếp hạng quốc gia. Chúng tôi đào sâu hơn một chút và tìm thấy một số dữ liệu rất thú vị mà chúng tôi sẽ đưa vào trong một báo cáo mà chúng tôi mong đợi sẽ phát hành vào tuần tới.
Phần kết luận
Tôi hy vọng bạn đã rất thích này tổng quan về phong cảnh tấn công WordPress. Nếu bạn đang ở trong lĩnh vực tình báo đe dọa, tôi khuyên bạn nên lấy dữ liệu này và đưa nó vào phân tích của riêng bạn. Tôi biết một số bạn đã có và đã chia sẻ những phát hiện của bạn với chúng tôi một cách riêng tư và tôi đánh giá rất cao điều đó.
We will be publishing a follow-up to this report describing why Algeria has risen in the attack ranks some time next week.
Dịch và cập nhật từ: https://www.wordfence.com/blog/2017/04/march-2017-wordpress-attack-report/
