Hackers controlan una “botnet” de más de 20.000 infectados WordPress Los sitios están atacando a otros sitios de WordPress, según un informe de El equipo de Defiant Threat Intelligence. Las botnets intentaron generar hasta cinco millones de inicios de sesión maliciosos en WordPress en los últimos treinta días.
Según el informe, los piratas informáticos detrás de este ataque utilizan cuatro servidores de comando y control para enviar solicitudes a más de 14.000 servidores proxy de un proveedor ruso. Luego, esos servidores proxy se utilizan para anonimizar el tráfico y enviar instrucciones y un script a los sitios "esclavos" de WordPress infectados sobre cuál de los otros sitios de WordPress apuntar eventualmente. Los servidores detrás del ataque todavía están en línea y apuntan principalmente a la interfaz XML-RPC de WordPress para probar una combinación de nombres de usuario y contraseñas para inicios de sesión de administrador.
Vídeos recomendados
“Las listas de palabras asociadas con esta campaña contienen pequeños conjuntos de contraseñas muy comunes. Sin embargo, el script incluye funcionalidad para generar dinámicamente contraseñas apropiadas basadas en patrones comunes... Si bien es poco probable que esta táctica funcione Si tiene éxito en cualquier sitio determinado, puede ser muy eficaz cuando se utiliza a escala en una gran cantidad de objetivos”, explica The Defiant Threat Intelligence. equipo.
Relacionado
- Microsoft ofrece hasta 20.000 dólares para identificar vulnerabilidades de seguridad en Xbox Live
Los ataques a la interfaz XML-RPC no son nuevos y se remonta a 2015. Si le preocupa que su cuenta de WordPress pueda verse afectada por este ataque, el equipo de Defiant Threat Intelligence informa que es mejor habilitar restricciones y bloqueos para inicios de sesión fallidos. También puede considerar el uso de complementos de WordPress que protejan contra ataques de fuerza bruta, como el Complemento de valla de palabras.
El equipo de Defiant Threat Intelligence ha compartido información sobre los ataques con las autoridades policiales. Desafortunadamente, Informes ZDNet que los cuatro servidores de comando y control no se pueden desconectar porque están alojados en un proveedor que no acepta las solicitudes de eliminación. Aun así, los investigadores se pondrán en contacto con los proveedores de alojamiento identificados con los sitios esclavos infectados para intentar limitar el alcance del ataque.
Algunos datos se han omitido en el informe original sobre este ataque porque otros pueden explotarlo. El uso de proxies también dificulta encontrar la ubicación de los ataques, pero el atacante hizo errores que permitieron a los investigadores acceder a la interfaz de los servidores de comando y control detrás del ataque. Toda esta información se considera "una gran cantidad de datos valiosos" para los investigadores.
Recomendaciones de los editores
- WordPress afirma que Apple quiere el 30% de las ganancias de la App Store aunque sea gratuita
- ¿Qué es WordPress?
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.
