Hackare som kontrollerar ett "botnät" med över 20 000 infekterade WordPress webbplatser attackerar andra WordPress-webbplatser, enligt en rapport från Teamet från Defiant Threat Intelligence. Botnäten försökte generera upp till fem miljoner skadliga WordPress-inloggningar under de senaste trettio dagarna.
Enligt rapporten använder hackarna bakom denna attack fyra kommando- och kontrollservrar för att skicka förfrågningar till över 14 000 proxyservrar från en rysk leverantör. Dessa proxyservrar används sedan för att anonymisera trafik och skicka instruktioner och ett skript till de infekterade WordPress-"slav"-sajterna om vilken av de andra WordPress-sajterna som så småningom ska riktas mot. Servrarna bakom attacken är fortfarande online och riktar sig främst till WordPresss XML-RPC-gränssnitt för att prova en kombination av användarnamn och lösenord för administratörsinloggningar.
Rekommenderade videor
"Ordlistorna förknippade med den här kampanjen innehåller små uppsättningar mycket vanliga lösenord. Skriptet innehåller dock funktionalitet för att dynamiskt generera lämpliga lösenord baserat på vanliga mönster … Även om denna taktik är osannolik lyckas på en given plats, kan den vara mycket effektiv när den används i skala över ett stort antal mål”, förklarar The Defiant Threat Intelligence team.
Relaterad
- Microsoft erbjuder upp till $20 000 för att identifiera säkerhetsbrister i Xbox Live
Attacker på XML-RPC-gränssnittet är inte nya och går tillbaka till 2015. Om du är orolig för att ditt WordPress-konto kan påverkas av denna attack, rapporterar The Defiant Threat Intelligence-teamet att det är bäst att aktivera begränsningar och låsningar för misslyckade inloggningar. Du kan också överväga att använda WordPress-plugins som skyddar mot brute force-attacker, såsom Wordfence plugin.
Teamet från Defiant Threat Intelligence har delat information om attackerna med brottsbekämpande myndigheter. Tyvärr, Det rapporterar ZDNet att de fyra kommando- och kontrollservrarna inte kan tas offline eftersom de finns hos en leverantör som inte respekterar begäranden om borttagning. Fortfarande kommer forskare att kontakta värdleverantörer som identifierats med de infekterade slavsidorna för att försöka begränsa attackens omfattning.
Vissa data har utelämnats från den ursprungliga rapporten om denna attack eftersom den kan utnyttjas av andra. Användningen av proxyerna gör det också svårt att hitta platsen för attackerna, men angriparen gjorde det misstag som gjorde det möjligt för forskare att komma åt gränssnittet för kommando- och kontrollservrarna bakom ge sig på. All denna information anses vara "en hel del värdefull data" för utredare.
Redaktörens rekommendationer
- WordPress hävdar att Apple vill ha 30 % av App Store-vinsten även om det är gratis
- Vad är WordPress?
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
