Hyökkäys Japon palvelimille on päättynyt

JAPOn asiakastuki tiedotti perjantaina aamupäivällä, että cPanel-palvelimella olevat asiakkaiden Wordpress-sivustot eivät ole enää hyökkäyksen kohteena. Hyökkäys alkoi tiistaina 18.5.2021 kello 4:30. Hyökkäys on päättynyt perjantaina 21.5.2021 klo 4:30. Hyökkäyksen kesto oli tasan kolme vuorokautta. JAPO ylläpito on poistanut Wordpress kirjautumissivulle tehdyt rajoitukset perjantaina kello 9:10.

JAPO ylläpidolla ei ole tiedossa hyökkääjän motiiveja. Hyökkäys oli hajautettu, ja kohdistui useisiin kymmeniin eri sivustoihin JAPOn cPanel palvelimella. Hyökkäystä ei todennäköisesti ollut kohdistettu tiettyä sivustoa kohtaan. Hyökkäys kohdistui ainakin xmlrpc.php ja wp-login.php tiedostoihin. Hyökkääjä on todennäköisesti yrittänyt saada selville Wordpress-sivustojen kirjautumistietoja.

Hyökkäys ei kuitenkaan kohdistunut cPanel-palvelinta tai cPanel-järjestelmää vastaan. cPanelin kirjautumissivulla on aktiivinen seuranta ja järjestelmä tekee automaattisia estoja, jos kirjautumissivulle yritetään murtautua arvaamalla tunnuksia tai salasanoja.

JAPO ylläpidon tekemät rajoitukset ovat estäneet hyökkääjän pääsyn xmlrpc.php ja Wordpressin kirjautumissivulle. Rajoitukset on asetettu vain muutama tunti hyökkäyksen alkamisesta.

JAPOn ylläpito jättää toistaiseksi voimaan xmlrpc.php tiedoston rajoituksen. Wordpress-sivustojen ylläpitäjät voivat estää xmlrpc:n käytön sivustollaan, mutta monet jättävät eston tekemättä. JAPO ylläpidon arvion mukaan hyvin harvat käyttävät hyödykseen xmlrpc:tä, joten koko palvelimen laajuinen rajoitus jätetään voimaan. Xmlrpc on yleinen kohde Wordpress hyökkäyksille.

Xmlrpc-rajoitus ei vaikuta normaaliin Wordpressin käyttöön tai toimintaan.

-Jos sivustosi käyttää aktiivisesti hyödykseen xmlrpc:tä, niin ota yhteyttä JAPO ylläpitoon, todetaan tiedotteessa.

Wordpress-rajoitusten poiston jälkeen on mahdollista, että hyökkääjä uusii hyökkäyksensä. JAPO ylläpito seuraa cPanel palvelimen tilannetta aktiivisesti.

JAPO suosittelee edelleen Wordpressin päivitysten tekemistä, jos päivitykset ovat tekemättä.

–Suosittelemme myös admin-tunnusten salasanojen vaihtamista ja kaksivaiheisen tunnistautumisen aktivoimista (Wordfence-lisäosa) sekä kahden lisäosan asentamista Wordpressiin.

Jaa juttu: