Ihre Standorte sind vielleicht nicht dort, wo du denkst

15. Juni 2022
Top Five Attacking IPs

Bei Wordfence sehen wir große Mengen an Daten von Bedrohungsakteuren, und oft erzählen diese Daten unerwartete Geschichten. Wenn du dir nur die fünf wichtigsten IP-Adressen der Angreifer über einen Zeitraum von 30 Tagen ansiehst, wirst du vielleicht überrascht sein, woher diese Angriffe kommen und was sie tun. Wenn die meisten Menschen von Bedrohungsakteuren hören, denken sie an Länder wie Russland, China und Nordkorea. In Wirklichkeit kommen die Angriffe aus der ganzen Welt. Die fünf größten Angreifer, die wir in den letzten 30 Tagen verfolgt haben, kommen aus Australien, Deutschland, den USA, der Ukraine und Finnland.

Der Zweck dieser Angriffe ist fast so vielfältig wie ihre Standorte. Bei jeder der fünf bösartigen IP-Adressen wurde festgestellt, dass sie versuchen, unerlaubt auf Websites oder Dateisysteme zuzugreifen. An sechster Stelle lag eine IP-Adresse, die Brute-Force-Angriffe versuchte, aber die übrigen bösartigen IP-Adressen in den Top Ten versuchten alle, sich auf andere Weise Zugang zu verschaffen. Mehrere der Adressen wurden beim Scannen nach Schwachstellen, beim Herunter- oder Hochladen von Dateien, beim Zugriff auf Web-Shells und sogar beim Betrachten oder Schreiben benutzerdefinierter wp-config.php Dateien. Während einer der bösartigen Indikatoren bei allen fünf Top-IP-Adressen gleich war, gab es auch einige Aktionen, die nur bei einer bestimmten Angriffsquelle auftraten.

Die fünf größten Bedrohungen

IP-Bedrohung Nr. 1 aus Australien

Die in Australien gefundene IP-Adresse 20.213.156.164, die Microsoft gehört, ist vielleicht die überraschendste Adresse auf dieser Liste, geschweige denn die erste auf der Liste. In einem Zeitraum von 30 Tagen haben wir 107.569.810 Anfragen von dieser einzigen IP-Adresse aus Sydney verfolgt. Der Angreifer, der diese IP-Adresse verwendete, versuchte vor allem, potenzielle Web-Shells auf den Websites der Opfer zu öffnen, was darauf hindeuten könnte, dass der Angreifer nach übrig gebliebenen Web-Shells von erfolgreichen Exploits anderer Angreifer suchte.

IP-Bedrohung Australien

Dies ist eine gängige Technik für Angreifer, da sie automatisiert werden kann und es nicht erforderlich ist, aktiv eigene Shells und Backdoors auf die Website eines potenziellen Opfers hochzuladen. So können die Angreifer Zeit und Geld sparen, anstatt eine eigene Angriffskampagne zu starten, um Server zu kompromittieren.

Nachfolgend ein Beispiel für eine Anfrage, mit der die angreifende IP versuchte, auf eine bekannte Shell zuzugreifen. Sie wurde von der Wordfence-Firewall blockiert.

Wordfence-Firewall

IP-Bedrohung #2 aus Deutschland

Die deutsche IP-Adresse 217.160.145.62 hat zwar mit nur 70.752.527 verfolgten Ereignissen eine um 35 % geringere Anzahl an Angriffen als die IP-Adresse in Sydney, aber ihre Aktionen sind viel vielfältiger. Tatsächlich löste diese IP-Adresse vier verschiedene Regeln der Web Application Firewall (WAF) aus, darunter auch Versuche, Zip-Dateien auf die angegriffenen Websites hochzuladen. Dies ist eine häufige Aktion, die als erster Schritt durchgeführt wird, um bösartige Dateien auf den Server zu bringen. Es gab auch Versuche, die eine Schwachstelle in der Remotecodeausführung (RCE) im Tatsu Builder Plugin auszunutzenund Zugriff auf die wp-config.php Datei von einem im Web sichtbaren Ort aus.

IP-Bedrohung Deutschland
Beispiel für einen Exploit, der auf die Tatsu Builder Plugin-Schwachstelle abzielt, von dieser IP-Adresse.

IP-Bedrohung Nr. 3 aus den Vereinigten Staaten

Die Angriffe, die von der IP-Adresse 20.29.48.70 in den Vereinigten Staaten ausgingen, waren mit 54.020.587 erkannten Ereignissen etwas weniger zahlreich als die aus Deutschland. Die protokollierten Ereignisse ähneln denen, die aus Australien stammen. Die Suche nach bereits installierten Shells und Backdoors scheint auch bei diesen Angriffen das Hauptziel zu sein. Es ist wichtig zu wissen, dass dies nicht bedeutet, dass sich tatsächlich eine Backdoor auf der Website befindet. Dies ist nur eine Methode, mit der Angreifer hoffen, auf eine Webshell zu stoßen, die zuvor von einem anderen Angreifer installiert wurde, um Zeit und Ressourcen zu sparen. Ein Dateiname, auf den die IP-Adresse zuzugreifen versuchte, wird üblicherweise verwendet, um Spam zu versenden oder auf potenziell bösartige E-Commerce-Websites umzuleiten.

IP-Bedrohung US
Beispiel einer Pharma-Website, die das Endergebnis einer Weiterleitungskette war.

IP-Bedrohung #4 aus der Ukraine

Die Angriffe, die von der Ukraine ausgehen, kommen von der IP-Adresse 194.38.20.161. Der Zweck dieser Angriffe unterscheidet sich von dem, was wir von den IP-Adressen in den anderen Einträgen der Top Five sehen. Die meisten der 51.293.613 Anfragen scheinen darauf abzuzielen, die jQuery-Upload-Fähigkeiten der betroffenen Websites zu überprüfen. Dies geschieht mit einer Webanfrage, die eine JPEG-Bilddatei für einen versuchten Upload verwendet. Sobald sie wissen, dass ein Upload möglich ist, können die Angreifer bösartige Dateien hochladen, die von Spam bis zu Backdoors und allem dazwischen reichen.

IP-Bedrohung Nr. 5 aus Finnland

Den Abschluss unserer Top fünf mit nur 44.954.492 registrierten Ereignissen bildet die IP-Adresse 65.108.195.44 aus Helsinki, Finnland. Auch hier wird versucht, auf Web-Shells und Backdoors zuzugreifen. Die meisten Anfragen von dieser IP-Adresse scheinen auf zuvor hochgeladene bösartige Dateien zuzugreifen, anstatt zu versuchen, Schwachstellen auszunutzen oder Code zu aktivieren, der zu ansonsten legitimen Dateien hinzugefügt wurde, wie in dem Beispiel unten.

IP-Bedrohung Finnland
Das s_e.php-Dateibeispiel in seiner Rohform: eine Datei, auf die diese IP versucht hat zuzugreifen.

Eine Gemeinsamkeit: Alle IPs haben es auf die Wordfence IP-Blockliste geschafft

Die Bedrohungsakteure, die hinter diesen IP-Adressen stecken, haben möglicherweise mit verschiedenen Methoden versucht, die Kontrolle über diese WordPress-Websites zu erlangen. Eines haben jedoch alle diese IP-Adressen gemeinsam: Ihre Versuche wurden vom Wordfence Network blockiert und sind auf der Wordfence IP Blocklist, einer Premium-Funktion von Wordfence, gelandet.

Das bedeutet, dass diese IP-Adressen aufgrund des Umfangs der von ihnen ausgehenden Angriffe auf der Wordfence Real-Time IP-Blockliste gelandet sind, die verhindert, dass diese IP-Adressen überhaupt auf deine Website zugreifen können.

Fazit

Auch wenn man die fünf wichtigsten Orte nicht unbedingt als Ursprungsorte von Webangriffen ansieht, so sind es doch Gebiete, in denen Computer und das Internet weit verbreitet sind. Wo immer es beides gibt, gibt es auch die Ursprünge von Angriffen. Weniger überraschend ist, dass die Angreifer zwar von sehr unterschiedlichen Orten aus agieren, aber die Methoden, die sie anwenden, typischerweise gleich und oft vorhersehbar sind. Die Hosting-Konten, die von den Angreifern für ihre Angriffe genutzt werden, können sich überall auf der Welt befinden, während die Angreifer selbst an einem ganz anderen Ort sein können.

Wenn wir wissen, wie ein Angreifer denkt und welche Methoden er verwendet, können wir uns gegen seine Angriffe verteidigen. Diese fünf Top-Angreifer verzeichneten in dem untersuchten Zeitraum durchschnittlich mehr als 10 Millionen Zugriffsversuche pro Tag, aber mit einer guten Web Application Firewall mit Wordfence hatten die Angreifer keine Chance, ihre Ziele zu erreichen.

Alle Wordfence-Benutzer, die die Wordfence Web Application Firewall aktiviert haben, einschließlich der kostenlosen Wordfence-Kunden, sind gegen die Arten von Angriffen geschützt, die von diesen IP-Adressen aus beobachtet wurden, und gegen die Schwachstellen, die sie möglicherweise auszunutzen versuchen. Wordfence Care. Wenn du deine Seite sofort reinigen lassen willst, Wordfence Antwort bietet den gleichen Service mit 24/7/365 Verfügbarkeit und einer Reaktionszeit von 1 Stunde. Beide Produkte beinhalten praktischen Support, falls du weitere Hilfe benötigst.

Quelle


Dieser Artikel ist im Original von www.wordfence.com und wurde übersetzt
https://www.wordfence.com/blog/2022/06/top-five-attacking-ips-this-month/

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung