Hacker kontrollieren ein „Botnetz“ mit über 20.000 Infizierten WordPress Einem Bericht von zufolge greifen Websites andere WordPress-Websites an Das Defiant Threat Intelligence-Team. Die Botnetze versuchten, in den letzten dreißig Tagen bis zu fünf Millionen bösartige WordPress-Anmeldungen zu generieren.
Dem Bericht zufolge verwenden die Hacker hinter diesem Angriff vier Befehls- und Kontrollserver, um Anfragen an über 14.000 Proxyserver eines russischen Anbieters zu senden. Diese Proxys werden dann verwendet, um den Datenverkehr zu anonymisieren und Anweisungen und ein Skript an die infizierten WordPress-„Slave“-Sites zu senden, die angeben, welche der anderen WordPress-Sites letztendlich angegriffen werden sollen. Die Server hinter dem Angriff sind immer noch online und zielen hauptsächlich auf die XML-RPC-Schnittstelle von WordPress ab, um eine Kombination aus Benutzernamen und Passwörtern für Admin-Logins auszuprobieren.
Empfohlene Videos
„Die mit dieser Kampagne verbundenen Wortlisten enthalten kleine Sätze sehr häufiger Passwörter. Das Skript enthält jedoch Funktionen zum dynamischen Generieren geeigneter Passwörter auf der Grundlage gängiger Muster … Obwohl diese Taktik unwahrscheinlich ist „Während es an einem bestimmten Standort erfolgreich ist, kann es sehr effektiv sein, wenn es in großem Maßstab für eine große Anzahl von Zielen eingesetzt wird“, erklärt The Defiant Threat Intelligence Team.
Verwandt
- Microsoft bietet bis zu 20.000 US-Dollar für die Identifizierung von Sicherheitslücken in Xbox Live
Angriffe auf die XML-RPC-Schnittstelle sind nicht neu und stammen aus dem Jahr 2015. Wenn Sie befürchten, dass Ihr WordPress-Konto von diesem Angriff betroffen sein könnte, berichtet das Defiant Threat Intelligence-Team, dass es am besten ist, Einschränkungen und Sperren für fehlgeschlagene Anmeldungen zu aktivieren. Sie können auch die Verwendung von WordPress-Plugins in Betracht ziehen, die vor Brute-Force-Angriffen wie dem schützen Wordfence-Plugin.
Das Defiant Threat Intelligence-Team hat Informationen zu den Angriffen an die Strafverfolgungsbehörden weitergegeben. Bedauerlicherweise, ZDNet berichtet dass die vier Befehls- und Kontrollserver nicht offline geschaltet werden können, da sie bei einem Anbieter gehostet werden, der Deaktivierungsanfragen nicht berücksichtigt. Dennoch werden Forscher Kontakt zu Hosting-Anbietern aufnehmen, die mit den infizierten Slave-Sites identifiziert wurden, um zu versuchen, das Ausmaß des Angriffs einzudämmen.
Einige Daten wurden im ursprünglichen Bericht zu diesem Angriff weggelassen, da sie von anderen ausgenutzt werden können. Die Verwendung der Proxys macht es auch schwierig, den Ort der Angriffe zu ermitteln, den der Angreifer jedoch vorgenommen hat Fehler, die es Forschern ermöglichten, auf die Schnittstelle der dahinter liegenden Befehls- und Kontrollserver zuzugreifen Attacke. All diese Informationen gelten als „sehr wertvolle Daten“ für die Ermittler.
Empfehlungen der Redaktion
- WordPress behauptet, dass Apple 30 % der App-Store-Gewinne will, obwohl es kostenlos ist
- Was ist WordPress?
Werten Sie Ihren Lebensstil aufDigital Trends hilft Lesern mit den neuesten Nachrichten, unterhaltsamen Produktrezensionen, aufschlussreichen Leitartikeln und einzigartigen Einblicken, den Überblick über die schnelllebige Welt der Technik zu behalten.
