Botnet obejmujący ponad 20 000 witryn WordPress atakuje inne witryny WordPress

Hakerzy kontrolujący „botnet” liczący ponad 20 000 zainfekowanych WordPressa Według raportu opublikowanego przez witrynę WordPress witryny atakują inne witryny WordPress Zespół Defiant Threat Intelligence. W ciągu ostatnich trzydziestu dni botnety próbowały wygenerować do pięciu milionów złośliwych loginów do WordPressa.

Z raportu wynika, że ​​hakerzy stojący za tym atakiem wykorzystują cztery serwery dowodzenia i kontroli do wysyłania żądań do ponad 14 000 serwerów proxy od rosyjskiego dostawcy. Te serwery proxy są następnie wykorzystywane do anonimizacji ruchu oraz wysyłania instrukcji i skryptu do zainfekowanych „niewolniczych” witryn WordPress dotyczących tego, na którą z pozostałych witryn WordPress ostatecznie wybrać cel. Serwery stojące za atakiem są nadal online i ich celem jest przede wszystkim interfejs XML-RPC WordPressa, aby wypróbować kombinację nazw użytkowników i haseł do logowania administratora.

Polecane filmy

„Listy słów powiązane z tą kampanią zawierają małe zestawy bardzo popularnych haseł. Jednakże skrypt zawiera funkcję dynamicznego generowania odpowiednich haseł w oparciu o typowe wzorce… Choć jest to mało prawdopodobne w przypadku tej taktyki odnieść sukces w dowolnej witrynie, może być bardzo skuteczny, jeśli zostanie zastosowany na dużą skalę i obejmujący dużą liczbę celów” – wyjaśnia The Defiant Threat Intelligence zespół.

Powiązany

  • Microsoft oferuje do 20 000 dolarów na identyfikację luk w zabezpieczeniach usługi Xbox Live

Ataki na interfejs XML-RPC nie są niczym nowym i sięga 2015 roku. Jeśli obawiasz się, że ten atak może mieć wpływ na Twoje konto WordPress, zespół Defiant Threat Intelligence informuje, że najlepiej włączyć ograniczenia i blokady w przypadku nieudanych logowań. Możesz także rozważyć użycie wtyczek WordPress, które chronią przed atakami typu brute-force, takimi jak Wtyczka Wordfence’a.

Zespół Defiant Threat Intelligence udostępnił informacje na temat ataków organom ścigania. Niestety, ZDNet podaje że czterech serwerów dowodzenia i kontroli nie można przełączyć w tryb offline, ponieważ są hostowane przez dostawcę, który nie honoruje żądań usunięcia. Mimo to badacze będą kontaktować się z dostawcami usług hostingowych, u których zidentyfikowano zainfekowane witryny podrzędne, aby spróbować ograniczyć zakres ataku.

Niektóre dane zostały pominięte w oryginalnym raporcie na temat tego ataku, ponieważ mogą zostać wykorzystane przez inne osoby. Korzystanie z serwerów proxy utrudnia również znalezienie lokalizacji ataków, ale atakujący dokonał tego błędy, które umożliwiły badaczom dostęp do interfejsu serwerów dowodzenia i kontroli znajdujących się za atak. Wszystkie te informacje są uznawane przez śledczych za „dużą ilość cennych danych”.

Zalecenia redaktorów

  • WordPress twierdzi, że Apple chce 30% zysków App Store, mimo że jest bezpłatny
  • Co to jest WordPress?

Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.