Uma grande botnet WordPress está atacando outros blogs alimentados por plataforma. É particularmente preocupante, uma vez que já ganhou um grande número de vítimas recrutadas. O que sabemos até agora é que a rede está encapsulado através de um provedor de serviço de proxy russo, possivelmente indicando que os hackers podem ser de origem russa.
O WordPress Botnet pode ser depois de seu Blog
Uma nova botnet WordPress está agora atacando blogs alimentados pela plataforma popular em uma tentativa de derrubar o maior número possível. O que sabemos até agora é que ele tem sido capaz de ganhar um grande número de máquinas recrutados. Como seu tamanho está crescendo com cada blog infectado prevemos que ela pode se tornar uma arma muito poderosa para outros crimes, bem. O relatório de segurança revela que ele usa um algoritmo infecção avançada, possivelmente sendo o produto de um planejamento cuidadoso.
A análise da forma como os sites vítimas são atacadas mostra que o método de uso é o ataque de força bruta. Os ataques de hackers são feitas contra a interface XML-RPC, que é usado para autenticar com o blogs. A fim de fazer os pedidos mais crível aos vários agentes de usuário do sistema são utilizados durante as tentativas de acesso: dispositivos iPhone e Android. Até agora, as estatísticas mostram que sobre 20,000 sites de escravos WordPress Atualmente parte da botnet. Os conjuntos de senha que são usados para ganhar a entrada para os sistemas infectados são credenciais não só comuns e fracos, mas também utilizando padrões comuns. Usando um abordagem multicall o WordPress botnet é capaz de ganhar a entrada em muitos sistemas em um ritmo significativamente mais rápido do que tentativas de intrusão tradicionais.
Uma característica que define esta ameaça é a sua cadeia ataque complexo. As tentativas de intrusão são feitas através dos anfitriões botnet escravos recrutados e não os servidores back-end que são operadas pelos atores maliciosos. As instruções para a ofensiva é enviado através de um rede de servidores proxy o que torna muito difícil de rastrear a fonte original dos ataques. Os servidores proxy são executados a partir de um provedor de russo, que possivelmente indica que os operadores maliciosos pode ser de Rússia.
Quatro servidores de comando e controle separados foram identificados mostrando que as máquinas infectadas também pode ser operado a partir de diferentes coletivos. Uma das hipóteses por trás suas operações e modo de operação é que ele pode ser alugado a outros hackers através dos mercados subterrâneos.
Como o botnet WordPress ainda está ativo é importante para os administradores a tomar as precauções necessárias para proteger seus sites. Os três principais dicas de segurança nesta situação são as seguintes:
- Implementar restrições e bloqueios temporários fo tentativas de login.
- Monitorar logs de acesso e olhar para qualquer comportamento suspeito ou tráfego.
- Certifique-se de que um forte nome de usuário e senha combinação, juntamente com CAPTCHA são implementados para todas as contas WordPress.