90 дней тестировали BitNinja — коробочное решение для защиты сервера и сайта. Рассказываем кто, откуда и что атакует

[Lisaveta_K]

Как же Wordpress привлекает пираний то, тут без защиты не обойтись конечно, любопытно как повлияет добавление домена и наполнения.

[alche]

У вас на картинке Top Attacking Countries под номером 3 стоит Russia, а под номером 10 - Russian Federation. Что это означает?

[Ave_Ls]

Это особенности отображения стран в BitNinja, так и не понял с чем связано. Если банить, то в дропдаун попадет только Russian Federation, но я так понял, что и "Russia" тоже забанится.

[r3n0]

Спасибо за материал, +1 и закладка, надеюсь увидеть продолжение. В двух словах объясню нюансы (как исследователь безопасности и бывший сотрудник Patchstack):

Больше всего атак пришлось на WPU, потом WPD и в конце DA.

Разница между WPD и WPU в том, что на WPD работает WAF, но могло ли это стать причиной такой существенной разницы в количестве атак — сейчас я сказать не могу.

Не просто могло, а скорее всего это оно и было. Доверяйте своему чутью и логике.

Смущает, что сам WAF заблокировал очень мало запросов. Но, возможно, боты как-то его определяют и даже не пытаются продолжать запросы. Если вы в курсе — расскажите, пожалуйста.

Да, популярные инструменты для пробива перед атакой детектируют техническую сторону цели, включая фактическое наличие и тип WAF, после чего обычно идёт выбор: продолжать атаку, изменить параметры атаки или свернуть атаку вообще. Другой подход к этой же задаче: просканировать Х сайтов на наличие/отсутствие WAF, добавить в список для последующей атаки только те, где не был выявлен WAF, а остальные в игнор. Какие-то единичные сайты за WAF всё равно окажутся в списке, 100% точности нет при работе с большим количеством целей, но это всё будет на уровне погрешности.

Суть в том, что WordPress из-за своей популярности более выгоден для атакующего в количестве скомпрометированных целей, и выбор тут безграничен. Можно спокойно отбрасывать сайты за WAF, чтобы лишний раз не триггерить защиту, особенно если речь идёт об атаке с использованием 0-day в каком-то более-менее популярном плагине. Чуть реже атака идёт сразу по нескольким уязвимым плагинам — бандл. Ещё реже идёт атака по старым, незакрытым уязвимостям в десятках плагинов, и такие атаки, как ни странно, тоже имеют успех.

Триггерить WAF не стоит по одной банальной причине: логи атаки в кратчайшие сроки увидят аналитики (Patchstack, Wordfence, Jetpack/WPScan etc.), через считанные часы будет понятно что за уязвимость, в каком плагине и как её эксплуатировать. За этим сразу последует правило для WAF (чуть реже ещё и vpatch), которое будет блокировать попытки эксплуатации этой уязвимости, и это новое правило мгновенно растечётся по десяткам/сотням тысяч клиентских сайтов. Плюс, есть практика сообщения об актуальных атаках между некоторыми компаниями, занимающимися обеспечением безопасности сайтов на WordPress, так что охват защищённых сайтов кратно возрастает, делая атаку менее эффективной.

После этих первичных действий последует связь с вендором и информирование вендора об уязвимости в подконтрольном ему плагине. Далее: патч, тестирование, релиз новой версии, обновление плагина на сайтах. При идеальном раскладе, после все этих действий уязвимость потеряет актуальность для массового пробива.