Hakerzy kontrolujący „botnet” liczący ponad 20 000 zainfekowanych WordPressa Według raportu opublikowanego przez witrynę WordPress witryny atakują inne witryny WordPress Zespół Defiant Threat Intelligence. W ciągu ostatnich trzydziestu dni botnety próbowały wygenerować do pięciu milionów złośliwych loginów do WordPressa.
Z raportu wynika, że hakerzy stojący za tym atakiem wykorzystują cztery serwery dowodzenia i kontroli do wysyłania żądań do ponad 14 000 serwerów proxy od rosyjskiego dostawcy. Te serwery proxy są następnie wykorzystywane do anonimizacji ruchu oraz wysyłania instrukcji i skryptu do zainfekowanych „niewolniczych” witryn WordPress dotyczących tego, na którą z pozostałych witryn WordPress ostatecznie wybrać cel. Serwery stojące za atakiem są nadal online i ich celem jest przede wszystkim interfejs XML-RPC WordPressa, aby wypróbować kombinację nazw użytkowników i haseł do logowania administratora.
Polecane filmy
„Listy słów powiązane z tą kampanią zawierają małe zestawy bardzo popularnych haseł. Jednakże skrypt zawiera funkcję dynamicznego generowania odpowiednich haseł w oparciu o typowe wzorce… Choć jest to mało prawdopodobne w przypadku tej taktyki odnieść sukces w dowolnej witrynie, może być bardzo skuteczny, jeśli zostanie zastosowany na dużą skalę i obejmujący dużą liczbę celów” – wyjaśnia The Defiant Threat Intelligence zespół.
Powiązany
- Microsoft oferuje do 20 000 dolarów na identyfikację luk w zabezpieczeniach usługi Xbox Live
Ataki na interfejs XML-RPC nie są niczym nowym i sięga 2015 roku. Jeśli obawiasz się, że ten atak może mieć wpływ na Twoje konto WordPress, zespół Defiant Threat Intelligence informuje, że najlepiej włączyć ograniczenia i blokady w przypadku nieudanych logowań. Możesz także rozważyć użycie wtyczek WordPress, które chronią przed atakami typu brute-force, takimi jak Wtyczka Wordfence’a.
Zespół Defiant Threat Intelligence udostępnił informacje na temat ataków organom ścigania. Niestety, ZDNet podaje że czterech serwerów dowodzenia i kontroli nie można przełączyć w tryb offline, ponieważ są hostowane przez dostawcę, który nie honoruje żądań usunięcia. Mimo to badacze będą kontaktować się z dostawcami usług hostingowych, u których zidentyfikowano zainfekowane witryny podrzędne, aby spróbować ograniczyć zakres ataku.
Niektóre dane zostały pominięte w oryginalnym raporcie na temat tego ataku, ponieważ mogą zostać wykorzystane przez inne osoby. Korzystanie z serwerów proxy utrudnia również znalezienie lokalizacji ataków, ale atakujący dokonał tego błędy, które umożliwiły badaczom dostęp do interfejsu serwerów dowodzenia i kontroli znajdujących się za atak. Wszystkie te informacje są uznawane przez śledczych za „dużą ilość cennych danych”.
Zalecenia redaktorów
- WordPress twierdzi, że Apple chce 30% zysków App Store, mimo że jest bezpłatny
- Co to jest WordPress?
Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.