Des pirates contrôlent un « botnet » de plus de 20 000 personnes infectées WordPress les sites attaquent d'autres sites WordPress, selon un rapport de L’équipe Defiant Threat Intelligence. Les botnets ont tenté de générer jusqu’à cinq millions de connexions WordPress malveillantes au cours des trente derniers jours.
Selon le rapport, les pirates derrière cette attaque utilisent quatre serveurs de commande et de contrôle pour envoyer des requêtes à plus de 14 000 serveurs proxy d'un fournisseur russe. Ces proxys sont ensuite utilisés pour anonymiser le trafic et envoyer des instructions et un script aux sites « esclaves » WordPress infectés concernant lequel des autres sites WordPress cibler éventuellement. Les serveurs à l'origine de l'attaque sont toujours en ligne et ciblent principalement l'interface XML-RPC de WordPress pour tester une combinaison de noms d'utilisateur et de mots de passe pour les connexions administrateur.
Vidéos recommandées
« Les listes de mots associées à cette campagne contiennent de petits ensembles de mots de passe très courants. Cependant, le script inclut des fonctionnalités permettant de générer dynamiquement des mots de passe appropriés basés sur des modèles courants… Bien qu'il soit peu probable que cette tactique réussit sur un site donné, il peut être très efficace lorsqu'il est utilisé à grande échelle sur un grand nombre de cibles », explique The Defiant Threat Intelligence. équipe.
En rapport
- Microsoft offre jusqu'à 20 000 $ pour identifier les failles de sécurité dans Xbox Live
Les attaques contre l’interface XML-RPC ne sont pas nouvelles et remonte à 2015. Si vous craignez que votre compte WordPress puisse être affecté par cette attaque, l’équipe Defiant Threat Intelligence rapporte qu’il est préférable d’activer les restrictions et les verrouillages pour les échecs de connexion. Vous pouvez également envisager d’utiliser des plugins WordPress qui protègent contre les attaques par force brute, comme le Plugin Wordfence.
L’équipe Defiant Threat Intelligence a partagé des informations sur les attaques avec les autorités chargées de l’application des lois. Malheureusement, Rapports ZDNet que les quatre serveurs de commande et de contrôle ne peuvent pas être mis hors ligne car ils sont hébergés chez un fournisseur qui n’honore pas les demandes de retrait. Néanmoins, les chercheurs contacteront les hébergeurs identifiés avec les sites esclaves infectés pour tenter de limiter la portée de l'attaque.
Certaines données ont été omises du rapport original sur cette attaque car elles pourraient être exploitées par d'autres. L'utilisation de proxys rend également difficile la localisation des attaques, mais l'attaquant a fait erreurs qui ont permis aux chercheurs d'accéder à l'interface des serveurs de commande et de contrôle derrière le attaque. Toutes ces informations sont considérées comme « une grande quantité de données précieuses » pour les enquêteurs.
Recommandations des rédacteurs
- WordPress affirme qu'Apple veut 30 % des bénéfices de l'App Store même si c'est gratuit
- Qu’est-ce que WordPress?
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
