Attaccare WordPress con wpbruteforcer

Quale momento migliore per sferrare un attacco mentre tutti sono in vacanza? E’ quello che probabilmente ha pensato Kevin Mitnick quando pianificò il suo leggendario attacco di Natale.

Volando molto più basso del Condor, addirittura sottoterra, nell’underground della rete, ho trovato uno script che effettua un attacco dictionary attack contro i blog basati su WordPress.

Lo script di cui parlo è wpbruteforcer, uno programma scritto in python. Per funzionare necessita del modulo mechanize. L’ho testato su di un paio di piattaforme, e benchè mi dia un errore alla fine dell’attacco, compie il suo dovere.

Cosa fa? Semplice, prende un dizionario di parole e le prova come  fossero le password di un utente specificato, nella speranza di trovare quella giusta.  Questa è la prova su strada che ho effettuato su Ubuntu.

Per prima cosa mi sono creato al volo con pico un dizionario formato da 7 parole, naturalmente un attacco vero dovrà utilizzare un dizionario più corposo:

angelor@xronin:~/Scaricati$ cat wordlist
pippo
pluto
paperino
batman
topolino
god
zeus

Quindi ho lanciato l’attacco contro PillolHacking.Net, specificando il target con l’opzione -t, l’utente (admin) con -u e il dizionario da utilizzare con -w:

angelor@xronin:~/Scaricati$ ./wpbruteforcer.py -t www.pillolhacking.net  -u admin -w wordlist
 
[*] Starting attack at 16:25:04
[*] Target site : http://www.pillolhacking.net/wp-login.php
[*] Account for bruteforcing "admin"
[*] Loaded : 7 words
[*] Bruteforcing wp-login, please wait...
[*] Trying ...

Al quinto tentativo l’attacco ha avuto successo:

[*] Logging in success...
[*] Username : admin
[*] Password : topolino

Ovviamente in uno scenario reale le cose non sono così semplici e immediate.

Questo attacco è insidioso, perchè spesso gli utenti utiizzano una sola password per diversi servizi: con la password recuperata in modo tutto sommato semplice potrebbe essere possibile attaccare altri servizi più interessanti.

Tuttavia, difendersi da questo attacco è semplice, basta evitare l’utilizzo di parole banali: semplicemente ritoccando una parola comune, aggiungendo caratteri speciali e/o numeri all’inizio o alla fine, rende l’attacco vano. Ma spesso questo accorgimento non viene messo in pratica, con i risultati che è facile immaginare.

8 Comments
  1. Pingback: Tweets that mention Attaccare WordPress con wpbruteforcer | PillolHacking.Net -- Topsy.com

  2. Pingback: Technotizie.it

  3. Pingback: PillolHacking.Net: I Migliori Articoli del 2010 | PillolHacking.Net

  4. Scusa, è da tutto il pomeriggio che ci sto provando ma non ne esco fuori.Potresti darmi una mano ?

  5. salve a tutti..non sono molto ferrato in materia,quindi molto umilmente chiedo:come faccio a far funzionare questi script? non mi importa nulla di password di facebook ecc,ma ho semplicemente voglia di imparare “il linguaggio” grazie a chinque mi risponda.comunque ottimo sito,complimenti

  6. Oltre a mettere una password buona (Ma sempre con il rischio che prima o poi possa essere scoperta), esiste un plugin per wordpress, che, dopo cinque volte che si tenti di effettuare il login, questo non va a buon fine, si deve aspettare ben 20 minuti, ritardando di gran lunga l’attacco. Comunque sia una buona password, non fa mai male.

Comments are closed.