Noll
Skurkar att kontrollera ett nätverk av över 20 000 redan är infekterade WordPress-installationer med hjälp av dessa platser för att inleda attacker på andra platser i WordPress, ZDNet har lärt sig av WordPress bevakningsföretag Trotsig.
De företag som administrerar och publicerar Wordfence plugin, en brandvägg system för WordPress-sajter, säger att det upptäcks över fem miljoner inloggningsförsök under den senaste månaden från redan infekterade webbplatser mot andra, ren WordPress portaler.
Attackerna är vad som säkerhet experter kallar “dictionary attacks.” Detta är upprepade inloggningsförsök under vilken hackare testa en rad kombinationer av användarnamn och lösenord, i hopp om att få en hit och få tillgång till ett konto.
Trotsiga säkerhet forskare Mikey Veenstra säger att företaget har lyckats att få en inblick i hur denna botnät fungerar. I en rapport som publicerades för några minuter sedan och delade med ZDNet, forskare, säger Trotsiga utredarna upptäckte att på toppen av detta botnet står hydra-som chef för fyra ledning och styrning av servrar som instruerar redan infekterade webbplatser som på andra platser för att attackera.
Bild: Trotsig
Dessa servrar skicka attack instruktioner genom ett nätverk av över 14 000 proxy-servrar som hyrs från de bästa-proxyservrar[.]ru service, som sedan vidarebefordra denna information till skadliga skript placeras på redan infekterade WordPress webbplatser.
Dessa skript läsa en lista med mål som de får från ledning och kontroll server, sätta ihop en lista med lösenord baserat på en fördefinierad lista med lösenord mönster och sedan försöka använda det nyligen skapade lösenord för att logga in på en annan webbplats admin-konto.
“Om brute force script försöker att logga in på example.com som användare alice, det kommer att generera lösenord som exempel, alice1, alice2018, och så vidare,” Veenstra förklarade attack mekanism i sin rapport. “Medan denna taktik är osannolikt att lyckas på någon viss plats, kan det vara mycket effektiva när de används i stor skala över ett stort antal mål.”
Under normala omständigheter, eftersom angriparna använde ett nätverk av fullmakter för att dölja var deras ledning och styrning av servrar, forskare skulle inte kunna spåra hela detta botnet s verksamhet.
Lyckligtvis, Trotsiga säger att människorna bakom detta botnet gjort några misstag i sitt genomförande av “brute force “skript” som gjort det möjligt för forskare att exponera botnet hela backend infrastruktur.
Dessutom, de misstag som inte stannar vid brute force-skript. Trotsiga säger botnät operatörerna också gjort misstag i att genomföra system för autentisering för deras botnet-administration panel. Trotsiga forskare säger att de kunde kringgå botnät kontrollpanel logga in systemet och ta en titt inne skurkar ” operation.
Bild: Trotsig
Företaget säger att det redan delat den information som samlas in från botnät med brottsbekämpning. Tyvärr, botnät fyra command-and-control-servrar kunde inte tas bort, eftersom de finns på infrastruktur HostSailor, ett företag som kännetecknas ett tag tillbaka som en skottsäker hosting leverantör som inte hedra takedown önskemål. Detta innebär botnät är fortfarande lever och sparkar, fortsätter att attackera flera WordPress-webbplatser.
Vad göra?
Eftersom botnet är automatiserad inloggningsförsök inte är inriktade på WordPress-login-panelen, utan i stället på WordPress-XML-RPC-autentisering, ändra en webbplats admin panelen URL kommer inte att hjälpa.
Istället, Trotsiga rekommenderar att WordPress webbplats ägare använda en WordPress plugin säkerhet som kan blockera brute-force eller ordbok attackerna mot XML-RPC-tjänsten.
Lyckligtvis, attacker på XML-RPC-system för autentisering har pågått ett par år nu, och varje anständig WordPress firewall ska kunna blockera dessa attacker.
Mer säkerhet nyheter:
Den CoAP protokollet är nästa stora grej för DDoS-attackerNya Linux-crypto-miner stjäl ditt root-lösenord och inaktiverar antivirusprogrammetAndra WordPress-hackande kampanjen pågår
En av fem Magecart-infekterade butiker få återinfekterade inom några dagarWordPress nu kan du publicera och visa virtual reality innehåll CNET
Zero-day i populära WordPress plugin utnyttjas i det vilda för att ta över platserAdobe släpper out-of-band säkerhetsuppdatering för nyupptäckta Flash zero-day
Webbplatser som attackeras 58 gånger per dag, även när lagas ordentligt TechRepublic
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0