«Ботнет» из зараженных сайтов WordPress атакует другие сайты на этой платформе

Хакеры, контролирующие «ботнет» из более чем 20000 зараженных сайтов WordPress, нападают на другие сайты WordPress, согласно отчету команды Defiant Threat Intelligence. За последние тридцать дней бот-сети пытались создать до пяти миллионов вредоносных цепочек WordPress. 

Согласно отчету, хакеры, стоящие за этой атакой, используют четыре командных и управляющих сервера для отправки запросов более чем 14 000 прокси-серверам от российского провайдера. Эти прокси-серверы затем используются для анонимизации трафика и отправки инструкций и сценария на зараженные «подчиненные» сайты WordPress, касающиеся того, какие из других сайтов WordPress будут в конечном итоге атакованы. Серверы, стоящие за атакой, по-прежнему подключены к сети и в первую очередь нацелены на интерфейс XML-RPC WordPress, чтобы опробовать комбинацию имен пользователей и паролей для входа администратора. 

«Списки слов, связанные с этой кампанией, содержат небольшие наборы очень распространенных паролей. Тем не менее, сценарий включает в себя функциональность для динамического создания соответствующих паролей на основе общих шаблонов… Хотя эта тактика вряд ли будет успешной на каком-либо одном сайте, она может быть очень эффективной при использовании в масштабе для большого числа целей », – объясняет The Defiant Threat Intelligence. 

Атаки на интерфейс XML-RPC не новы и относятся к 2015 году. Если вы обеспокоены тем, что эта атака может повлиять на вашу учетную запись WordPress, команда Defiant Threat Intelligence сообщает, что лучше всего включить ограничения и блокировки для неудачных входов. Вы также можете рассмотреть возможность использования плагинов WordPress, которые защищают от атак методом перебора, таких как плагин Wordfence. 

Команда Defiant Threat Intelligence поделилась информацией о нападениях с правоохранительными органами. К сожалению, как сообщает ZDNet, четыре командных и управляющих сервера не могут быть переведены в автономный режим, поскольку они размещены у поставщика, который не выполняет запросы на удаление. Тем не менее, исследователи будут связываться с хостинг-провайдерами, идентифицированными с зараженными подчиненными сайтами, чтобы попытаться ограничить масштаб атаки. 

Некоторые данные были исключены из первоначального отчета об этой атаке, потому что они могут быть использованы другими сервисами. Использование прокси также затрудняет поиск места атаки, но злоумышленник допустил ошибки, которые позволили исследователям получить доступ к интерфейсу командных и управляющих серверов, стоящих за атакой. Вся эта информация рассматривается как «большое количество ценных данных» для следователей.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Пожалуйста, авторизуйтесь чтобы добавить комментарий.
  Подписаться  
Уведомление о
Поделиться в facebook
Поделиться в twitter
Поделиться в vk
Поделиться в whatsapp
Поделиться в pinterest
Поделиться в email
[email-subscribers-form id="1"]

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: