WordFence称在过去的三个周,能看到每天遭受攻击的网站数量几乎翻了一番,下图蓝色虚线表示过去60天被攻击的网站平均数量,绿色表示每天动态的攻击量。
在过去60天,我们看到阻止的暴力攻击量明显增加。
并且,让我们非常关注的是,来自一些特别IP的攻击量每天都在增加,这种增加是从11月24日开始,并在过去一周大幅增加。
现在这个增长远远高于我们的基线。通常我们每天看到大约13000个特别IP的攻击。但是我们现在每天看到的超过了30000个,而且还在不断增加。
谁在对WordPress进行暴力攻击
上面的图表显示了过去两个月的数据。我们现在分析一下过去24小时的攻击,看一看到底是谁正在攻击WordPress网站。
下表列出了过去24小时,按攻击量排序的、攻击全球WordPress的前20个国家。正如你所看到的,乌克兰是发起攻击最多的国家,是目前的罪魁祸首,约有230万次攻击,占了总攻击的15%。而当你知道乌克兰人口只有4500万时,发现这个攻击量太多了。
这些攻击,通常都采用暴力登录攻击,基本上没有用到其他复杂的攻击方法,当我们把24小时的攻击次数加在一块,并按IP所属的组织排序时,你可以真正看到乌克兰主机的强大影响。
需要说明的是,有些组织非常庞大,比如GoDaddy,在它上面的WordPress网站实际上占了很大比例。并且在你找那些“不安全的”IP提供者时,你必须考虑他们的规模,处理那些有问题的主机,是需要响应时间的。
如上图,攻击量最多的来自于一个小ISP组织,要知道,在乌克兰24小时的230万次暴力攻击中,每天来自这个小组织的,就能检测到超过165万次暴力攻击(brute-force),全都来自于”Pp Sks-lugan”。需要说明的是,和地球上最大的互联网服务提供商或托管公司相比,比如GoDaddy, OVH,这一个小的不能再小的乌克兰ISP公司,直到现在都没有人听说过。但是它的攻击量确如此之大。上图中顶部的两个网络和第三个网络之间的差异是戏剧性的。
并且这其中超过150万次来自下面的8个IP地址,很可能是在一个人的控制下,在24小时中,每个IP大概发起了25万次攻击。
在Wordfence公开了他们的发现几天以后,关于这个“顽皮的”的小ISP,乌克兰的用户已经伸出手来提供了很多信息。
该ISP位于乌克兰内战的战场中
一个命名为“Victor P.”的用户,追踪了这个侵权的ISP,原来这个ISP名叫“SKS-Lugan”,在阿尔切夫斯克市已经存在了多年。根据当地的商业指南,这个公司的CEO叫Lizenko Dmitro IgorovichR,SKS-Lugan公司拥有大约16名员工。
此时,乌克兰当局对SKS-Lugan没有任何影响力,因为阿尔切夫斯克市在乌克兰东部,重点是它被亲俄的力量控制着。阿尔切夫斯克市正好位于乌克兰内战的灰色地带。下图中红色箭头处:
Victor P. 说这个ISP是由俄罗斯控制的,但是他并没有确凿的证据。更有可能的解释是,ISP的所有者,或真正对此事负责的那个人,同意与网络犯罪集团合作,并利用拥有的主机服务器发出了恶意的操作。
该ISP的IP地址已在垃圾邮件黑名单中存在了多年
实际上,分配给SKS-Lugan ISP的在黑名单中的IP,曾参与了大量网络犯罪活动。当前,这个ISP的黑名单IP已经加到了SBL中(spamhaus,它是一个国际性非营利组织,其主要任务是跟踪国际互联网的垃圾邮件团伙,实时黑名单技术,协助执法机构辨别,追查全世界的垃圾邮件,并游说各国政府制订有效的反垃圾邮件法案)。
根据SBL的数据,有些恶意的活动甚至在乌克兰战争开始前就已经发生。看来,最近发现的网络暴力攻击,是一个持续性事件。
该ISP的IP已经从事网络犯罪很长时间
根据SBL,在这个ISP的IP上,存在下面网络犯罪活动,需要说明的是,这只是犯罪活动的一小部分,还有很多:
是俄罗期人控制了该ISP?不太像!
当俄罗斯总统宣布,俄军队已经参与了乌克兰战争时,俄罗斯不太可能去劫持ISP,并暴力攻击全球的WordPress网站。考虑到这个ISP悠久的网络犯罪活动的历史,SKS-Lugan有可能是一个掩护托管公司,为网络犯罪活动提供庇护。目前,还没有线索显示该ISP与最近大规模传播的“雪崩”恶意软件网络(该网络与一名乌克兰男子有关)有关,该网络目前已被当局关闭。
乌克兰战争造成的混乱,有可能让这些ISP乘机进入那些灰色地带,并从事非法网络犯罪活动。这样做的好处很明显:在这些灰色地带,国际法不重要,也没有警察会去抓他们。