Un grand botnet WordPress attaque actuellement d'autres blogs alimentés par la plate-forme. Il est particulièrement inquiétant car il a déjà gagné un grand nombre de victimes recrutées. Ce que nous savons à ce jour est que le réseau est canalisé par un fournisseur de services proxy russe, indiquant peut-être que les pirates pourraient être d'origine russe.
WordPress Botnet possible après votre blog
Un nouveau botnet WordPress attaque maintenant blogs alimenté par la plate-forme populaire pour tenter d'abattre le plus grand nombre possible. Ce que nous savons est si loin qu'il a été en mesure d'obtenir un grand nombre de machines recrutés. Comme sa taille augmente avec chaque blog infecté, nous pensons que cela pourrait devenir une arme très puissante pour d'autres crimes aussi bien. Le rapport de sécurité révèle qu'il utilise un algorithme d'infection avancée, étant peut-être le produit de planification minutieuse.
Un une analyse de la façon dont les sites sont attaqués aux victimes montre que la méthode d'utilisation est la attaque de force brute. Les attaques de pirates se font sur l'interface XML-RPC qui est utilisé pour authentifier les blogs. Afin de rendre les demandes plus crédible au système divers agents utilisateurs sont utilisés pendant les tentatives d'accès: appareils iPhone et Android. Jusqu'à présent, les statistiques montrent que plus de 20,000 sites esclaves WordPress font actuellement partie du botnet. Les jeux de mots de passe utilisés pour entrer dans les systèmes infectés ne sont pas seulement des informations d'identification communes et faibles, mais aussi en utilisant des modèles communs. Utilisant un approche multiappel le botnet WordPress est capable d'entrer dans de nombreux systèmes à un rythme nettement plus rapide que les tentatives d'intrusion traditionnelles.
Une caractéristique déterminante de cette menace est la la chaîne d'attaque complexe. Les tentatives d'intrusion se font via les serveurs esclaves botnet recrutés et pas les serveurs principaux qui sont exploités par les acteurs malveillants. Les instructions pour l'offensive est envoyée par un réseau de serveurs proxy ce qui le rend très difficile de déterminer la source initiale des attaques. Les serveurs proxy sont exécutés à partir d'un fournisseur russe qui indique peut-être que les opérateurs malveillants peuvent provenir de la Russie.
ont été identifiés quatre serveurs de commande et de contrôle séparés montrant que les hôtes infectés peuvent également être exploités de différents collectifs. L'une des hypothèses derrière ses opérations et son mode de fonctionnement est qu'il peut être loué à d'autres pirates via les marchés souterrains.
Comme le botnet WordPress est toujours actif il est important pour les administrateurs de prendre les précautions nécessaires pour protéger leurs sites. Les trois conseils de sécurité dans cette situation sont les suivantes:
- Mettre en œuvre les restrictions et les lockouts temporaires fo tentatives de connexion infructueuses.
- Surveiller les journaux d'accès et regarder pour tout comportement suspect ou de la circulation.
- Assurez-vous qu'une forte combinaison nom d'utilisateur et mot de passe ainsi CAPTCHA sont mises en œuvre pour tous les comptes de WordPress.