Тысячи взломанных домашних роутеров атакуют сайты WordPress

  1. Ботнет с использованием Burst Attacks
  2. Взломанные домашние роутеры Взлом WordPress
  3. Другие интернет-провайдеры с уязвимыми маршрутизаторами
  4. 28 интернет-провайдеров с подозрительными моделями атак, указывающими на скомпрометированные маршрутизаторы...
  5. Что такое порт 7547 и TR-069 и почему это проблема?
  6. 6,7% атак на сайты WordPress осуществляются с домашних маршрутизаторов с открытым портом 7547
  7. Риск безопасности для домашних пользователей
  8. Риск безопасности для Интернета в целом
  9. Как интернет-провайдеры могут помочь
  10. Что мы делаем

Обновление: по популярному запросу мы создали инструмент, который позволяет вам проверить, не подвержен ли ваш собственный домашний маршрутизатор проблемам, обсуждаемым в этом посте. Посетите эту страницу, чтобы проверить, открыт ли у вашего домашнего маршрутизатора порт 7547 или запущена ли уязвимая версия RomPager ,

На прошлой неделе, создавая Ежемесячный отчет об атаках Wordfence мы заметили, что Алжир переместился с позиции 60 в нашем списке «самых атакующих стран» на позицию 24. Это был большой скачок, и нам было любопытно, почему Алжир так быстро поднялся в рейтинге атак.

При ближайшем рассмотрении мы обнаружили, что более 10 000 IP-адресов в Алжире атаковали сайты WordPress в марте. Большинство IP-адресов в течение месяца только запускали от 50 до 1000 атак.

Следующая диаграмма является гистограммой. Он группирует IP-адреса по количеству атак. Как видно из всплеска слева, наиболее распространенное количество атак составляло от 100 до 200 для IP-адреса. Лишь немногие из атакующих IP-адресов сгенерировали более 2000 атак в течение всего месяца марта 2017 года.

Мы хотели узнать больше об этих атакующих IP-адресах, поэтому копали немного глубже.

Ботнет с использованием Burst Attacks

Мы извлекли список IP-адресов алжирских атак и включили время регистрации первой атаки и время последней зарегистрированной атаки. Большинство IP-адресов потратили всего несколько часов на атаку, а затем остановились на остаток месяца. Приведенная ниже гистограмма показывает, сколько IP-адресов потратили на атаку менее суток (показано как 0) по сравнению с теми, которые провели 1 или более дней. Как вы можете видеть, более 7000 IP-адресов потратили всего несколько часов на атаку в марте, прежде чем они остановились.

Эти IP-адреса включаются, выполняют несколько атак, а затем выключаются, и больше месяца их не слышат. То, что мы нашли, это ботнет это распределено по тысячам IP-адресов. Каждый IP-адрес выполняет только несколько атак, эти атаки распространяются на многие веб-сайты, и атаки длятся всего несколько минут или часов.

Злоумышленник, контролирующий этот ботнет, использует несколько уклончивых приемов. Они распространяют свои атаки по очень большому количеству IP-адресов. Они используют низкочастотные атаки, чтобы избежать блокировки. Они также распространяют свои атаки на большое количество сайтов WordPress.

Эти уклончивые методы указывают на более высокий уровень сложности, чем, например, на «PP Sks-Lugan», который мы писали в прошлом где мы видим один IP, генерирующий миллионы атак.

Взломанные домашние роутеры Взлом WordPress

Когда мы выяснили, кому принадлежит каждый из атакующих IP-адресов в Алжире, мы обнаружили, что более 97% из них принадлежат Telecom Algeria . Есть примерно 30 разных провайдеров в Алжире. Мы видим некоторые атаки из других сетей, но ничто по сравнению с объемом, который исходит от Telecom Algeria.

Атаки, которые мы видели в марте, происходили из следующих сетей:

  • У 41.96.0.0/12, который варьируется от 41.96.0.0 до 41.111.255.255, в марте было 4671 атакующих IP-адресов .
  • У 105.96.0.0/12, который колеблется от 105.96.0.0 до 105.111.255.255, было 4591 атакующих IP-адресов в марте.
  • У 154.240.0.0/12, который варьируется от 154.240.0.0 до 154.255.255.255, было 715 атакующих IP-адресов в марте.
  • У 197.112.0.0/13, который колеблется от 192.112.0.0 до 197.119.255.255, было 401 атакующих IP в марте.

Telecom Algeria является государственной собственностью телекоммуникационный провайдер в Алжире. Поэтому это крупнейший телекоммуникационный провайдер в стране.

Мы провели опрос сети на выборке из 8 962 IP-адресов в сети Telecom Algeria Мы провели опрос сети на выборке из 8 962 IP-адресов в сети Telecom Algeria. Мы получили ответы от 3855 IP-адресов.

Из этих IP-адресов мы обнаружили, что 1501 являются маршрутизаторами Zyxel, которые прослушивают порт 7547 и работают «Allegro RomPager 4.07 UPnP | 1.0 (ZyXEL ZyWALL 2)».

Allegro RomPager 4.07 - это встроенный веб-сервер, который имеет серьезную уязвимость и называется Печенье несчастья от Checkpoint , который обнаружил это в 2014 году. CVE-2014-9222 ,

Похоже, что злоумышленники использовали домашние маршрутизаторы в государственной телекоммуникационной сети Алжира и используют эти маршрутизаторы для атаки на сайты WordPress по всему миру.

Другие интернет-провайдеры с уязвимыми маршрутизаторами

Алжир привлек наше внимание, потому что его рейтинг страны подскочил с 60 до 24 в нашем лучшие атакующие страны за март , Как только мы более внимательно изучили атакующие IP-адреса, мы смогли определить конкретную модель поведения для этих атакующих IP-адресов:

  • Обычно они атакуют менее 48 часов, а затем останавливаются.
  • Большинство из них генерируют менее 1000 атак.
  • Обычно на одном интернет-провайдере большое количество атакующих IP-адресов.

В результате поиска похожих шаблонов мы обнаружили, что есть несколько других интернет-провайдеров, которые, похоже, имеют ту же проблему, что и Telecom Algeria.

BSNL - Индия

BSNL - Индия

BSNL является государственным телекоммуникационным провайдером в Индии. В марте мы видели атаки с 11 495 IP-адресов в их сети.

В ходе исследования сети BSNL мы обнаружили, что:

  • 11 495 IP-адресов в сети BSNL атаковали сайты WordPress в марте.
  • Из этих атакующих IP-адресов 4857 IP-адресов также имеют открытый порт 7547.
  • Мы обнаружили, что 1635 IP-адресов, которые атаковали сайты WordPress, также работают под управлением «Allegro RomPager 4.07 UPnP | 1.0 (ZyXEL ZyWALL 2)», который уязвим.

PLDT ака. Филиппинский междугородний телефон

PLDT является крупнейшим поставщиком телекоммуникационных и цифровых услуг на Филиппинах.

В ходе опроса сети PLDT мы обнаружили, что:

  • 3697 IP-адресов в их сети атаковали сайты WordPress в марте.
  • 1612 из этих атакующих IP-адресов в сети PLDT имеют открытый порт 7547.
  • 137 из этих IP-адресов работают под управлением «Allegro RomPager 4.07 UPnP | 1.0 (ZyXEL ZyWALL 2)», который уязвим для удаленной эксплуатации.

28 интернет-провайдеров с подозрительными моделями атак, указывающими на скомпрометированные маршрутизаторы

После того, как мы смогли определить схему атаки скомпрометированных маршрутизаторов, мы искали других интернет-провайдеров, где шаблоны атаки соответствуют тем же критериям. То есть низкая частота атак, каждый IP-атака в течение менее 48 часов и большое количество IP-адресов атакуют сайты WordPress от определенного интернет-провайдера.

Это полный список интернет-провайдеров, которые мы обнаружили во всем мире, откуда происходят атаки, соответствующие этим критериям. Обратите внимание на низкую «среднюю атаку на столбец IP» в правой части таблицы (прокрутка вправо) и большое количество атакующих IP-адресов на ISP.

Что такое порт 7547 и TR-069 и почему это проблема?

Порт 7547 является портом управления на домашних маршрутизаторах. Это позволяет интернет-провайдерам управлять маршрутизаторами, которые их клиенты используют в своих домашних сетях. Он использует протокол TR-069 для обеспечения интерфейса управления. Протокол TR-069 может использоваться для предоставления устройств, обеспечения технической поддержки и удаленного управления, мониторинга маршрутизаторов на наличие неисправностей, диагностики, замены неисправной конфигурации и развертывания обновленного встроенного программного обеспечения.

Этот протокол и порт имели как минимум две серьезные уязвимости безопасности, связанные с ним за последние 4 года.

Мы уже упоминали уязвимость печенья несчастья который предназначен для порта управления 7547 и от чего страдают некоторые из вышеупомянутых интернет-провайдеров. RomPager версии 4.07 страдает от уязвимости файла cookie несчастного случая. В тех интернет-провайдерах, с которых мы наблюдаем атаки, 14 из 28 интернет-провайдеров имеют удаленно доступные маршрутизаторы с уязвимой версией RomPager версии 4.07 на порту 7547.

В ноябре прошлого года появилась еще одна уязвимость, позволяющая злоумышленнику использовать порт 7547 и интерфейс управления для получить административный доступ к роутеру ,

6,7% атак на сайты WordPress осуществляются с домашних маршрутизаторов с открытым портом 7547

В дополнение к сетевым опросам, проведенным нами у интернет-провайдеров, с которых происходят атаки, мы также опросили 865 467 дополнительных IP-адресов, которые за последние 3 дня участвовали в переборах или сложных атаках. Из них 57 971 имеют открытый порт 7547, что указывает на то, что они являются домашними маршрутизаторами, с которых происходят атаки.

Это означает, что 6,7% всех атак на сайты WordPress, которые мы защищаем, в течение последних 3 дней осуществлялись с домашних маршрутизаторов с открытым портом 7547.

Поисковая система Shodan, занимающаяся интернет-опросом, в настоящее время показывает, что более 41 миллиона устройств в Интернете прослушивают порт 7547. Протокол TR-069 широко используется Интернет-провайдерами во всем мире.

Риск безопасности для домашних пользователей

Если домашний маршрутизатор успешно используется, злоумышленник может получить доступ к вашей внутренней домашней сети. Они проникли в любую функцию брандмауэра, которую предоставляет маршрутизатор, и могут также обойти преобразование сетевых адресов маршрутизатора. Это позволяет им использовать внутренние цели, такие как рабочие станции, мобильные устройства, использующие устройства WiFi и IoT, такие как системы домашнего климат-контроля и домашние камеры.

Мы уже наблюдаем массовую эксплуатацию TR-069, который превратил домашние маршрутизаторы в ботнет, атакующий сайты WordPress. Вполне возможно, что эксплуатация домашней сети уже ведется.

Риск безопасности для Интернета в целом

В сентябре прошлого года OVH была атакована 1-терабайтной DDoS-атакой, одной из крупнейших в истории. Приблизительно 152 000 IOT (Internet of Things) устройств, которые были скомпрометированы, генерировали трафик в этой атаке.

Только за последний месяц мы увидели более 90 000 уникальных IP-адресов у 28 интернет-провайдеров, которые соответствуют нашей схеме атак на скомпрометированные маршрутизаторы. Мы отслеживаем эти атаки на сайтах наших клиентов, которые являются поверхностью атаки более 2 миллионов сайтов. Мы видим только пример атак, которые испытывают все сайты по всему миру. Если вы экстраполируете числа, это означает, что существует очень большое количество скомпрометированных маршрутизаторов ISP, которые выполняют атаки и действуют сообща.

На этом этапе было бы несложно сказать, что уязвимости в TR-069, возможно, создали очень большой ботнет, который может вскоре привести к самой крупной DDoS-атаке, которую когда-либо видел Интернет.

Как интернет-провайдеры могут помочь

Предоставление порта 7547 общедоступному Интернету дает злоумышленникам возможность использовать уязвимости в протоколе TR-069. Интернет-провайдеры должны отфильтровывать трафик в своей сети, исходящий из общедоступного Интернета, который ориентирован на порт 7547. Единственный трафик, который должен быть разрешен, - это трафик от их собственных серверов автоматической настройки или серверов ACS к оборудованию клиента и от него.

Уже существует большое количество скомпрометированных маршрутизаторов. Интернет-провайдеры должны немедленно начать мониторинг шаблонов трафика в своих собственных сетях на предмет вредоносных действий с целью выявления скомпрометированных маршрутизаторов. Они также должны принудительно обновить своих клиентов до прошивки, которая устраняет любые уязвимости и удаляет вредоносные программы.

Что мы делаем

В Wordfence мы ведем черный список IP-адресов в режиме реального времени для наших премиум-клиентов. Мы корректируем наши алгоритмы черного списка, чтобы идентифицировать и включать IP-адреса, которые участвуют в такого рода атаках. Мы также работаем над тем, чтобы информировать интернет-провайдеров и специалистов по безопасности о риске, который представляет TR-069, и о том, как они могут помочь снизить этот риск.

Похожие

Что такое Кровавая Супер Луна?
... се, штат Миннесота, 15 апреля 2014 года. Рис. Tomruen / Wikimedia 28 сентября 2015 года мы увидим Кровавую Супер-Луну в ночном небе. Звучит страшно. И неправильно. Время от времени я вижу информацию о «Кровавой Супер-Луне» в Интернете - обязательно написанную заглавной буквой, потому что она выглядит более драматично. Что происходит? За этим стоят два уникальных астрономических события, которые произойдут
как сделать популярный блог
SEO - что это значит? <Блог Sirius Pro
... что означает понятие SEO и какая история стоит за созданием одной из самых популярных индустрий интернет-маркетинга в мире? SEO - что это значит в маркетинге SEO - это сокращение поисковой оптимизации, которое при переводе на наш язык означает поисковую оптимизацию . Впервые это выражение стало появляться еще в середине 90-х годов и было связано с популяризацией поисковых систем, таких как Altavista и Infoseek
Windows Live SkyDrive
В повседневной жизни мы часто сталкиваемся с различными жалобами среди друзей по поводу того, что в их компьютерах есть носители данных со слишком маленькой емкостью. Или у них есть важная документация, которую они боятся придерживаться на жестких дисках компьютера из-за возможности их потери во время сбоя носителя или когда потребуется форматировать диск без возможности предварительного копирования данных. Следующая услуга, предлагаемая гигантом из Редмонда, - это как раз такие получатели,
Лучший хостинг. Как просто измерить производительность MySql?
... WordPress Поиск записей, где целочисленное поле имеет заданное значение (например, все товары с ценой 149 злотых) Поиск записей, содержащих определенную подстроку из трех символов, которая имитирует работу поисковой системы на странице, Поиск записей, в которых число, умноженное на 1,23, больше ... (например, для цены) Поиск записей, где текст = конкретная строка, например, все блузки с "синим" цветом На последнем шаге приложение выполняет
Как купить авиабилет?
... сайте esky.pl/bilety-lotnicze , Кроме того, авиабилеты по выгодным ценам можно найти, а затем забронировать с помощью вкладки предложения , Для этого воспользуйтесь системой поиска рейсов или календарями рейсов в Окажье, а затем пройдите все этапы процесса бронирования на нашем веб-сайте. Здесь вы можете прочитать больше о
Apple SIM: все, что нужно знать об SIM-карте для iPad
IPad стал предпочтительным рабочим инструментом для многих. Он мощный и легкий в транспортировке, гораздо больше, чем ноутбук благодаря своей легкости и изяществу. Он идеально подходит для офисных задач, ответов на электронные письма и просмотра веб-страниц в поисках информации. Однако, когда у нас нет Wi-Fi соединения, оно теряет много сил . Чтобы решить эту проблему, некоторые люди совместно используют соединение своего смартфона в качестве маршрутизатора для доступа
Бесплатные антивирусы или поддельные программы
... что это? Как лучше всего охарактеризовать поддельные антивирусы? Это вредоносное и (казалось бы, бесплатное) программное обеспечение, которое вместо того, чтобы защищать ваш компьютер, на самом деле заражает его вирусом. Часто сфабрикованная информация и броские заголовки используются для того, чтобы побудить пользователя Интернета переключиться на вымышленный веб-сайт, с которого загружается вредоносная программа . Также распространена практика вводить пользователей
Как читать больше и покупать книги дешевле?
Если бы было соревнование в том, кто любит книги больше всего в мире, я бы выиграл золотую медаль (даже если бы она была выдолблена из картофеля и действительно желтой). Я начал читать, когда мне было шесть лет, и с тех пор я не представлял мир без книг. Более того, я думаю, что чтение так сильно меняет людей, что каждый из нас должен читать. Просто как успеть на это и как сделать так, чтобы покупка новинки не повредила в кармане? Я люблю читать, но у меня не всегда есть время для этого.
Что такое запись PTR и как сделать обратный поиск IP?
Существует много типов DNS-записей, и начинающим может быть непросто понять, какая DNS-запись необходима или как ее настроить. В этом руководстве вы узнаете, что такое запись PTR и как проверить, установлена ​​ли она для IP-адреса. Что такое запись PTR Короче говоря, запись PTR похожа на обратную версию записи A. Запись сопоставляет доменное имя с IP-адресом, PTR сопоставляет IP-адрес с именем хоста. Однако эти две записи независимы. Например, запись hostinger.com может указывать
Определение нативной рекламы
... сутствует нативная реклама. Сегодня считается, что первая кампания на основе отечественной рекламы состоялась в 1950 году. Да, это верно! Это времена без Интернета, но с красочным телевидением за океаном, печатной прессой, рекламными щитами и, наконец, книгами. Потребовалось более 60 лет, чтобы снова громко рассказать о родной рекламе. Почему? Об этом позже в статье. (Не) случайная история родной рекламы Чтобы лучше понять, что такое нативная реклама, изучите

Комментарии

Что это, если не грубая наживка?
Что это, если не грубая наживка? Это был наш лучший текст о Weath Spider's Weath вчера. Конечно. Вероятно, это звучит великолепно, и вы будете стимулировать такие публикации и вознаграждать авторов таких текстов. Автор является одним из руководителей веб-редакции Spider. Таким образом, вы будете продвигать людей, которые дают такие броские названия. Я согласен с тем, что баланс между перемещением
Что такое «печать по требованию» и как это работает?
Что такое «печать по требованию» и как это работает? Печать по требованию - это процесс, при котором вы работаете с поставщиком, чтобы настроить изделия с белой этикеткой (например, бейсбольные кепки или сумки) с вашим собственным дизайном, чтобы продавать их на основе заказа под вашим собственным
Спросите, что и как именно они намерены делать в вопросах экономических и государственных финансов: что это будет переводить в конкретные цифры, хотя и приблизительно?
Спросите, что и как именно они намерены делать в вопросах экономических и государственных финансов: что это будет переводить в конкретные цифры, хотя и приблизительно? Они знают, о чем говорят? ( вот ссылки на ФБ ). Не обманывайте себя лозунгами и любыми ответами. Без подробностей в Польше все будет продолжаться, потому что лозунги не изменят
Но тот факт, что кто-то может позволить себе что-то, не означает, что он должен тратить на это деньги, верно?
Но тот факт, что кто-то может позволить себе что-то, не означает, что он должен тратить на это деньги, верно? Итак, стоит ли покупать MyPassport Wireless SSD? Это зависит Цены на SSD на момент написания этого обзора были следующими: WD MyPassport Wireless SSD 500 ГБ - 1270 зл. WD MyPassport Wireless SSD 1 ТБ - 3120 зл. WD MyPassport Wireless SSD 2 ТБ - 3620 зл. В то же время модель Pro также доступна для продажи по ценам:
Но как быть уверенным, что ваша защита действительно работает так же хорошо, как вы думаете?
Но как быть уверенным, что ваша защита действительно работает так же хорошо, как вы думаете? Эти инструменты также могут быть особенно полезны, если вы пытаетесь быстро определить, насколько безопасен чужой компьютер. Они могут показать вам, сколько уязвимого программного обеспечения установлено на ПК. Проверьте свой антивирус Нет, мы не собираемся рекомендовать загрузку вируса для проверки вашей антивирусной программы - это путь к катастрофе. Если вы когда-нибудь
Что такое USB Type-C?
Что такое USB Type-C? Type-C относится к физической форме новейшего USB-разъема. Разъем USB Type-C не следует путать с новым стандартом USB 3.1, который был анонсирован примерно в то же время (мы вернемся к этому через секунду). Наиболее распространенной и знакомой формой разъема USB является USB Type-A, который в настоящее время
Казалось бы, что это довольно благодарное название для такого предмета, верно?
Казалось бы, что это довольно благодарное название для такого предмета, верно? Все было бы хорошо, если бы не тот факт, что всего через несколько месяцев, а может быть, и три, я начал обсуждать не только темы книг и название «немного» для меня.
Какой вред мы можем принести с использованием поддельного программного обеспечения безопасности?
Какой вред мы можем принести с использованием поддельного программного обеспечения безопасности? Поддельный бесплатный антивирус - что это? Как лучше всего охарактеризовать поддельные антивирусы? Это вредоносное и (казалось бы, бесплатное) программное обеспечение, которое вместо того, чтобы защищать ваш компьютер, на самом деле заражает его вирусом. Часто сфабрикованная информация и броские заголовки используются для того, чтобы побудить пользователя Интернета переключиться
Итак, как вы идете по пути между использованием множества преимуществ Интернета и защитой себя от корпоративных интересов, которые стремятся использовать ваши данные для получения прибыли?
Итак, как вы идете по пути между использованием множества преимуществ Интернета и защитой себя от корпоративных интересов, которые стремятся использовать ваши данные для получения прибыли? Это тот самый толчок, который у меня был с собой за последний год, так как я столкнулся с откровениями, что Cambridge Analytica имеет личные данные более 50 миллионов американцев любезно предоставили Facebook
Просто как успеть на это и как сделать так, чтобы покупка новинки не повредила в кармане?
Просто как успеть на это и как сделать так, чтобы покупка новинки не повредила в кармане? Я люблю читать, но у меня не всегда есть время для этого. Я часто обещаю себе, что прочитаю роман, а потом книга лежит грустно на полке и ждет, пока я не займусь заказами, исследованиями или блогами. Мне не очень нравится откладывать это, и я пытаюсь придумать разные способы как-то провозить 20 минут чтения каждый день. Я делаю это не только потому, что мне это нравится. Я придерживаюсь
Что такое контент-маркетинг ROI?
Что такое контент-маркетинг ROI? 11:30 - 12:30 Стратегия контент-маркетинга Контент-маркетинг на месте и вне сайта Контент длинный или короткий? Как часто вы публикуете контент? Как вы находите темы по содержанию? Какие инструменты использовать для исследования рынка? 12:30 - 13:30 Типы контента Рекламные статьи Статьи, электронные книги,

Что такое порт 7547 и TR-069 и почему это проблема?
Что такое порт 7547 и TR-069 и почему это проблема?
Что происходит?
О означает понятие SEO и какая история стоит за созданием одной из самых популярных индустрий интернет-маркетинга в мире?
Как просто измерить производительность MySql?
О это?
Как лучше всего охарактеризовать поддельные антивирусы?
Просто как успеть на это и как сделать так, чтобы покупка новинки не повредила в кармане?
Что такое запись PTR и как сделать обратный поиск IP?
Почему?