Una grande botnet WordPress sta attaccando altri blog alimentati dalla piattaforma. E 'particolarmente preoccupante in quanto ha già ottenuto un gran numero di vittime reclutati. Quello che sappiamo finora è che la rete è incanalato attraverso un provider di servizi di proxy russo, possibilmente indicando che gli hacker potrebbero essere di origine russa.
Il WordPress Botnet possibile dopo il tuo blog
Una nuova botnet WordPress è ora attaccando blog alimentati dalla piattaforma popolare nel tentativo di abbattere il maggior numero possibile. Quello che sappiamo finora è che è stato in grado di ottenere un gran numero di macchine reclutati. Come la sua dimensione cresce con ogni blog infetti possiamo anticipare che potrebbe diventare un'arma molto potente per altri reati, nonché. Il rapporto di sicurezza rivela che utilizza un algoritmo infezione avanzata, forse essendo il prodotto di un'attenta pianificazione.
Un analisi del modo in cui i siti vittima vengono attaccati mostra che il metodo da usare attacco di forza bruta. Gli attacchi di hacking sono fatte contro l'interfaccia XML-RPC, che viene utilizzato per l'autenticazione con i blog. Al fine di rendere le richieste più credibile al sistema vari agenti utente vengono utilizzati durante i tentativi di accesso: i dispositivi iPhone e Android. Finora le statistiche mostrano che sopra 20,000 siti di schiavi WordPress sono attualmente parte della botnet. I set di password che vengono utilizzate per ottenere l'ingresso ai sistemi infetti sono le credenziali non solo comuni e deboli, ma anche utilizzando modelli comuni. Usare un approccio multichiamata la botnet WordPress è in grado di ottenere l'ingresso in molti sistemi ad un ritmo molto più veloce rispetto tentativi di intrusione tradizionali.
Una caratteristica distintiva di questa minaccia è la sua catena attacco complesso. I tentativi di intrusione vengono effettuate tramite i padroni di casa reclutati botnet schiavi e non i server back-end che sono gestiti dagli attori maligni. Le istruzioni per l'offensiva viene inviato tramite un rete di server proxy che lo rende molto difficile da rintracciare la fonte originale degli attacchi. I server proxy vengono eseguiti da un fornitore russo che forse indica che gli operatori possono essere dannosi dalla Russia.
Quattro server di comando e controllo separati sono stati identificati mostrando che gli host infetti possono essere utilizzati anche da diversi collettivi. Una delle ipotesi che stanno dietro le sue operazioni e le modalità delle operazioni è che può essere affittata ad altri hacker attraverso i mercati sotterranei.
Come la botnet WordPress è ancora attivo il suo importante per gli amministratori di adottare le precauzioni necessarie per proteggere i loro siti. I primi tre punte di sicurezza in questa situazione sono i seguenti:
- Implementare limitazioni e blocchi temporanei fo tentativi di login falliti.
- Monitorare i log di accesso e guardare fuori per qualsiasi comportamento sospetto o di traffico.
- Assicurarsi che una forte combinazione di nome utente e password con CAPTCHA sono implementate per tutti gli account di WordPress.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: