Ein großes Wordpress-Botnetz derzeit angreift andere von der Plattform angetrieben Blogs. Es ist beunruhigend, zumal es bereits eine große Anzahl von rekrutierten Opfern gewonnen. Was wir wissen, ist so weit, dass das Netzwerk durch einen russischen Proxy-Service-Provider getunnelt, möglicherweise darauf hinweist, dass der Hacker russischer Herkunft sein könnte.
Das Wordpress-Botnet Nach Ihrem Blog May Be
Ein neuer Wordpress-Botnet jetzt greift durch die beliebte Plattform in einem Versuch angetrieben Blogs so viele wie möglich zu besiegen. Was wir bisher wissen, ist, dass es eine große Anzahl von rekrutierten Maschinen gewinnen konnte. Wie seine Größe mit jedem infizierten Blog wächst erwarten wir, dass es auch eine sehr mächtige Waffe für andere Verbrechen werden könnte. Der Sicherheitsbericht zeigt, dass es eine fortgeschrittene Infektion Algorithmus verwendet, möglicherweise ist das Produkt einer sorgfältigen Planung.
Ein Analyse die Opfer Websites angegriffen dem Weg sind zeigt, dass Verfahren zur Verwendung der Brute-Force-Angriff. Die Hacker-Angriffe sind getan gegen die XML-RPC-Schnittstelle, die verwendet wird, mit den Blogs zu authentifizieren. Um die Anforderungen glaubhafter zu den System verschiedene Benutzeragenten werden während der Zugriffsversuche verwendet, um: iPhone und Android-Geräte. Bisher haben die Statistik zeigt, dass über 20,000 Wordpress-Slave-Websites sind derzeit Teil des Botnetzes. Die Passwort-Sets, die verwendet werden, Zugang zu den infizierten Systemen zu gewinnen sind nicht nur gemeinsame und schwache Anmeldeinformationen, sondern auch mit gemeinsamen Muster. Verwendung einer Mehrfachrufs Ansatz die Wordpress-Botnetz ist in der Lage den Eintritt in viele Systeme zu einem deutlich schnelleren Tempo als herkömmliche Einbruchsversuche zu gewinnen.
Ein charakteristisches Merkmal dieser Bedrohung ist ihre komplexe Angriffskette. Die Einbruchsversuche werden über die rekrutiert Botnet Slave-Hosts und nicht die Back-End-Servern durchgeführt, die von den böswilligen Akteuren betrieben werden. Die Anweisungen für die Offensive wird über eine geschickt Netzwerk von Proxy-Servern das macht es sehr schwierig, die ursprüngliche Quelle der Angriffe zu verfolgen. Der Proxy-Server wird von einem russischen Anbieter führt, die möglicherweise darauf hinweisen, dass die böswilligen Betreiber von Russland sein können.
Vier separate Kommando- und Kontrollserver identifiziert die zeigen, dass die infizierten Hosts können auch aus verschiedenen Kollektiven betrieben werden. Eine der Hypothesen hinter seinem Betrieb und die Art der Operationen ist, dass es an anderem Hacker über die U-Bahn-Märkte gemietet werden kann.
Wie das Wordpress-Botnetz ist sein immer noch aktiv wichtig für Administratoren, die notwendigen Vorkehrungen zu treffen, ihre Websites zu schützen. Die oberen drei Sicherheitstipps in dieser Situation sind die folgenden:
- Implementieren Einschränkungen und temporäre Aussperrungen fo fehlgeschlagener Anmeldeversuche.
- Monitor-Zugriffsprotokolle und halten Sie Ausschau nach verdächtigen Verhalten oder Verkehr.
- Stellen Sie sicher, dass eine starke Benutzername und Passwort-Kombination zusammen mit CAPTCHA für alle Wordpress-Konten umgesetzt werden.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: