Nul
Oplichters zijn het bedienen van een netwerk van meer dan 20.000 reeds geïnfecteerde WordPress-installaties het gebruik van deze sites om aanvallen op andere WordPress sites, ZDNet heeft geleerd van WordPress security bedrijf Uitdagend.
Het bedrijf, beheert en publiceert de Wordfence plugin, een firewall systeem voor WordPress websites, zegt hij ontdekt meer dan vijf miljoen login pogingen in de laatste maand van reeds geïnfecteerde sites tegen andere, schone WordPress portals.
De aanvallen zijn wat security experts noemen “woordenboek aanvallen.” Deze worden herhaald login pogingen in die hackers het testen van een serie van gebruikersnaam en wachtwoord combinaties, in de hoop te scoren een hit en toegang te krijgen tot een account.
Opstandige security-onderzoeker Mikey Veenstra zegt dat het bedrijf is erin geslaagd om inzicht te krijgen in hoe dit botnet werkt. In een rapport dat een paar minuten geleden en gedeeld met ZDNet, de onderzoeker zei Uitdagend onderzoekers ontdekten dat op de top van dit botnet staat hydra-als hoofd van de vier command en control-servers die instrueren reeds geïnfecteerde sites op die andere sites aan te vallen.
Afbeelding: Uitdagend
Deze servers sturen aanval instructies via een netwerk van meer dan 14.000 proxy servers gehuurd van de beste-proxy ‘ s[.]ru-service, die dan relais deze informatie aan de kwaadwillende scripts geplaatst op reeds geïnfecteerde WordPress sites.
Deze scripts lezen van een lijst van doelen die ze ontvangen van de command and control-server, het opstellen van een lijst van wachtwoorden op basis van een vooraf gedefinieerde lijst van wachtwoord en vervolgens patronen proberen te gebruiken om het nieuw gegenereerde wachtwoord in om in te loggen op een andere site admin-account.
“Als de brute kracht was het script probeert aan te melden op example.com als de gebruiker alice, het genereren van wachtwoorden zoals bijvoorbeeld alice1, alice2018, enzovoort,” Veenstra legde de aanval mechanisme in zijn rapport. “Hoewel deze tactiek is het onwaarschijnlijk om te slagen op een bepaalde site, kan zeer effectief zijn wanneer het gebruikt wordt op de schaal over een groot aantal doelen.”
Onder normale omstandigheden, omdat de aanvallers gebruikt een netwerk van proxy ‘ s te verbergen voor de locatie van hun command en control-servers, onderzoekers zou het niet kunnen volgen van deze hele botnet-activiteit.
Gelukkig, Uitdagend zegt dat de mensen achter dit botnet “een aantal fouten in de uitvoering van de brute kracht van scripts” die onderzoekers belichten van het botnet de gehele backend infrastructuur.
Bovendien, de fouten niet stoppen bij de brute kracht van scripts. Opstandige zegt de botnet-exploitanten ook fouten gemaakt in de uitvoering van de verificatie van systemen voor hun botnet ‘ s beheer paneel. Opstandige onderzoekers zeggen dat ze in staat waren om een bypass om het botnet bedieningspaneel login systeem en neem een kijkje in een van de boeven’ in werking.
Afbeelding: Uitdagend
Het bedrijf zegt dat het al gedeeld de informatie die het verzameld van het botnet met handhaving van de wet. Helaas, het botnet vier command-and-control-servers kon niet worden gehaald, als ze worden gehost op de infrastructuur van HostSailor, een bedrijf kenmerkt zich een tijdje terug als een bulletproof hosting provider die niet eer takedown-verzoeken. Dit betekent dat het botnet is nog steeds alive and kicking, blijven aanvallen meer WordPress sites.
Wat te doen?
Omdat het botnet ‘ s automatische inlog pogingen zijn niet gericht op het WordPress login-paneel, maar in plaats daarvan op de WordPress een XML-RPC authenticatie mechanisme, het veranderen van een site admin panel URL niet helpen.
In plaats daarvan, Uitdagend raadt WordPress website-eigenaren gebruik van een WordPress security plugin die kan blokkeren brute-force of woordenboek aanvallen uitgevoerd tegen de XML-RPC-service.
Gelukkig zijn de aanvallen op de XML-RPC authenticatie systemen hebben al een paar jaar nu, en een fatsoenlijke WordPress firewall moet in staat zijn om te voorkomen dat deze aanvallen.
Meer nieuws over beveiliging:
De CoAP protocol is het volgende grote ding voor DDoS-aanvallenNieuwe Linux crypto-mijnwerker steelt jouw root wachtwoord in en schakelt u de antivirusTweede WordPress te hacken campagne aan de gang
Een op de vijf Magecart-geïnfecteerde winkels krijgen opnieuw besmet raken binnen een paar dagenWordPress kunt u nu publiceren en weergeven van virtuele realiteit inhoud CNET
Zero-day-in het populaire WordPress plugin in het wild misbruik over te nemen sitesAdobe out-of-band beveiligingsupdate voor nieuw ontdekte Flash zero-day
Websites worden aangevallen 58 keer per dag, zelfs als patch goed TechRepublic
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters
0