Hackers controleren een ‘botnet’ van meer dan 20.000 geïnfecteerden WordPress sites vallen andere WordPress-sites aan, volgens een rapport van Het Defiant Threat Intelligence-team. De botnets hebben de afgelopen dertig dagen geprobeerd om tot vijf miljoen kwaadaardige WordPress-logins te genereren.
Volgens het rapport gebruiken de hackers achter deze aanval vier command-and-control-servers om verzoeken te sturen naar meer dan 14.000 proxyservers van een Russische provider. Deze proxy's worden vervolgens gebruikt om het verkeer te anonimiseren en instructies en een script naar de geïnfecteerde WordPress-slavesites te sturen over welke van de andere WordPress-sites zich uiteindelijk moeten richten. De servers achter de aanval zijn nog steeds online en richten zich voornamelijk op de XML-RPC-interface van WordPress om een combinatie van gebruikersnamen en wachtwoorden uit te proberen voor beheerdersaanmeldingen.
Aanbevolen video's
“De woordenlijsten die aan deze campagne zijn gekoppeld, bevatten kleine sets met veelgebruikte wachtwoorden. Het script bevat echter functionaliteit om op dynamische wijze geschikte wachtwoorden te genereren op basis van gemeenschappelijke patronen … Hoewel dit onwaarschijnlijk is succes heeft op een bepaalde locatie, kan het zeer effectief zijn als het op grote schaal wordt gebruikt voor een groot aantal doelen”, legt The Defiant Threat Intelligence uit. team.
Verwant
- Microsoft biedt maximaal $ 20.000 om beveiligingsproblemen in Xbox Live te identificeren
Aanvallen op de XML-RPC-interface zijn niet nieuw en dateren uit 2015. Als u zich zorgen maakt dat uw WordPress-account mogelijk door deze aanval wordt getroffen, meldt het team van The Defiant Threat Intelligence dat u het beste beperkingen en uitsluitingen voor mislukte aanmeldingen kunt inschakelen. U kunt ook overwegen om WordPress-plug-ins te gebruiken die bescherming bieden tegen brute force-aanvallen, zoals de Wordfence-plug-in.
Het Defiant Threat Intelligence-team heeft informatie over de aanvallen gedeeld met wetshandhavingsautoriteiten. Helaas, ZDNet-rapporten dat de vier commando- en controleservers niet offline kunnen worden gehaald omdat ze worden gehost bij een provider die verwijderingsverzoeken niet honoreert. Toch zullen onderzoekers contact opnemen met hostingproviders die zijn geïdentificeerd met de geïnfecteerde slavensites om te proberen de omvang van de aanval te beperken.
Sommige gegevens zijn weggelaten uit het oorspronkelijke rapport over deze aanval, omdat deze door anderen kunnen worden uitgebuit. Het gebruik van de proxy's maakt het ook moeilijk om de locatie van de aanvallen te vinden, maar de aanvaller heeft het gedaan fouten waardoor onderzoekers toegang kregen tot de interface van de commando- en controleservers achter de aanval. Al deze informatie wordt door onderzoekers beschouwd als “een grote hoeveelheid waardevolle gegevens”.
Aanbevelingen van de redactie
- WordPress beweert dat Apple 30% van de winst in de App Store wil, ook al is het gratis
- Wat is WordPress?
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.
