Các trang web dùng mã nguồn WordPress đang đối mặt với một cuộc tấn công dò mật khẩu sử dụng mạng botnet tồi tệ nhất từ trước đến nay. Mạng phân phối nội dung (CDN) CloudFlare cho biết đã chặn 60 triệu truy vấn tấn công vào các khách hàng sử dụng WordPress trong 1 giờ đồng hồ.

• >> Tấn công mạng “lớn nhất lịch sử”, internet toàn cầu lâm nguy

• >> Cảnh sát Nhật lập đội chuyên chống tấn công mạng

• >> Giải mã vụ tấn công mạng lớn nhất trong lịch sử

• >> Hàn Quốc tiếp tục bị tấn công mạng trên diện rộng

• >> Hãng thông tấn chính thức của Triều Tiên bị đánh sập

Các nhà cung cấp dịch vụ lưu trữ web (Web Hosting) khắp thế giới đều đang nhận ra sự gia tăng các hành vi tấn công dò mật khẩu vào các trang web khách hàng sử dụng mã nguồn WordPress và Joomla. Một vài nhà cung cấp ghi nhận mức tấn công tăng gấp 3 lần bình thường. Các truy vấn nhắm vào tài khoản quản trị (admin) đến từ một mạng botnet phức tạp có thể lên đến 100.000 máy tính dựa trên số địa chỉ IP phát sinh các đợt tấn công.

CloudFlare hồi đầu tuần đã nhận ra một cuộc tấn công tương tự sử dụng cách thức đặc thù này. CEO Matthew Prince của CloudFlare đã nói với trang The Next Web rằng ông không thể nhớ một cuộc tấn công dò mật khẩu nhắm vào WordPress ở quy mô lớn như vậy. Theo ước tính của Matthew, mạng botnet này có khả năng thử sai 2 tỷ mật khẩu trong 1 giờ. Con số này dựa vào 60 triệu truy vấn tấn công mà CloudFlare đã chặn. CloudFlare cũng cho biết dịch vụ của họ đang phục vụ 3% tổng lượng truy vấn web toàn mạng Internet. Các trang web chạy mã nguồn Joomla cũng đối mặt với các cuộc tấn công tương tự nhưng các cuộc tấn công hàng loạt dường như chỉ nhắm trực tiếp vào WordPress. Matthew nói có hàng trăm nghìn khách hàng sử dụng WordPress nhận ra dấu hiệu bị tấn công.

“Ai đó đã lên danh sách toàn bộ các trang sử dụng WordPress và tấn công chúng.” – Matthew nhận định.

Ngày hôm qua CloudFlare đã tung ra một bản vá lỗi để chống lại cuộc tấn công này dành cho cả khách hàng miễn phí và trả phí cũng như các nhà cung cấp dịch vụ lưu trữ web đối tác. Mức độ nguy hại của kiểu tấn công sử dụng từ điển mật khẩu này rất khó chống trả, do cách thông thường nhất là chặn IP khi phát hiện truy vấn liên tục gần như vô dụng khi có đến 100.000 IP tấn công đồng thời.

“Cuộc tấn công trải rộng khắp các địa chỉ IP. Rất khó để phát hiện đâu là nguồn của cuộc tấn công. Mỗi IP chỉ gửi một truy vấn.” – Matthew cho biết.

Ông cũng khuyên các trang web sử dụng WordPress hãy đảm bảo mật khẩu tài khoản quản trị đủ dài và khó để không thể đoán được dựa trên từ điển có sẵn.

Rất khó nói người đứng đằng sau cuộc tấn công này sẽ thu được gì từ việc bẻ khóa các mật khẩu nhưng rõ ràng hậu quả là rất lớn. Matthew dự đoán có khả năng mạng botnet đang muốn nâng cấp lên mức sử dụng các máy chủ zombie chứ không phải máy tính thông thường. Các máy tính với kết nối internet phổ thông không có đủ băng thông để triển khai các cuộc tấn công từ chối dịch vụ (DDoS) quy mô cực lớn.

Năm ngoái một cuộc tấn công tương tự nhắm vào Joomla đã tạo ra một mạng botnet sử dụng máy chủ hạ gục các tổ chức tài chính tại Mỹ bằng các cuộc tấn công DDoS. Các mật khẩu của trang web chỉ là bước đầu vì từ đó có thể dùng để truy cập vào server vốn giá trị hơn nhiều.

Matthew cho rằng:

“Những năm 2000 chỉ toàn các vấn đề về bảo mật Windows, nhưng những năm 2010 đổ đi, việc các phần mềm chạy trên máy chủ không được chú ý bảo mật có thể gây ra nhiều vấn đề nghiêm trọng hơn nhiều.”

Hostgator, một nhà cung cấp dịch vụ lưu trữ web lớn đã công bố thông tin về vụ việc này. Có thể các nhà cung cấp sẽ bắt tay nhau chia sẻ thông tin để chống lại các cuộc tấn công tương tự.

Lời khuyên từ tác giả của WordPress, Matt Mullenweg:

-Không sử dụng tài khoản có tên “admin” làm tài khoản quản trị.

-Sử dụng mật khẩu khó.

-Nếu sử dụng dịch vụ WordPress.com, hãy bật tính năng xác thực 2 yếu tố (two-factor authentication).

-Đừng quên nâng cấp lên phiên bản mới nhất của WordPress.

(TNW)