Hackere kontrollerer et "botnett" på over 20 000 infiserte WordPress nettsteder angriper andre WordPress-nettsteder, ifølge en rapport fra The Defiant Threat Intelligence-teamet. Botnettene forsøkte å generere opptil fem millioner ondsinnede WordPress-pålogginger i løpet av de siste tretti dagene.
Ifølge rapporten bruker hackerne bak dette angrepet fire kommando- og kontrollservere for å sende forespørsler til over 14 000 proxy-servere fra en russisk leverandør. Disse proxyene brukes deretter til å anonymisere trafikk og sende instruksjoner og et skript til de infiserte WordPress-“slave”-nettstedene angående hvilke av de andre WordPress-sidene som til slutt skal målrettes mot. Serverne bak angrepet er fortsatt online, og retter seg først og fremst mot XML-RPC-grensesnittet til WordPress for å prøve ut en kombinasjon av brukernavn og passord for admin-pålogginger.
Anbefalte videoer
«Ordlistene knyttet til denne kampanjen inneholder små sett med svært vanlige passord. Skriptet inkluderer imidlertid funksjonalitet for dynamisk å generere passende passord basert på vanlige mønstre... Selv om denne taktikken er usannsynlig lykkes på et gitt nettsted, kan det være svært effektivt når det brukes i stor skala på tvers av et stort antall mål», forklarer The Defiant Threat Intelligence team.
I slekt
- Microsoft tilbyr opptil $20 000 for å identifisere sikkerhetssårbarheter i Xbox Live
Angrep på XML-RPC-grensesnittet er ikke nytt og dateres tilbake til 2015. Hvis du er bekymret for at WordPress-kontoen din kan bli påvirket av dette angrepet, rapporterer The Defiant Threat Intelligence-teamet at det er best å aktivere begrensninger og lockout for mislykkede pålogginger. Du kan også vurdere å bruke WordPress-plugins som beskytter mot brute force-angrep, for eksempel Wordfence-plugin.
Defiant Threat Intelligence-teamet har delt informasjon om angrepene med politimyndighetene. Dessverre, Det melder ZDNet at de fire kommando- og kontrollserverne ikke kan tas frakoblet fordi de er vert hos en leverandør som ikke oppfyller forespørsler om fjerning. Likevel vil forskere kontakte vertsleverandører identifisert med de infiserte slavenettstedene for å prøve å begrense omfanget av angrepet.
Noen data er utelatt fra den opprinnelige rapporten om dette angrepet fordi de kan utnyttes av andre. Bruken av proxyene gjør det også vanskelig å finne stedet for angrepene, men angriperen gjorde det feil som tillot forskere å få tilgang til grensesnittet til kommando- og kontrollserverne bak angrep. All denne informasjonen blir ansett som "mye verdifulle data" for etterforskere.
Redaktørenes anbefalinger
- WordPress hevder at Apple vil ha 30 % av App Store-fortjenesten selv om det er gratis
- Hva er WordPress?
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
