Una "botnet" di siti WordPress infetti sta attaccando altri siti sulla piattaforma

Gli hacker che controllano una "botnet" di oltre 20.000 siti WordPress infetti stanno attaccando altri siti WordPress, secondo un rapporto del team di Defiant Threat Intelligence . Le botnet hanno tentato di generare fino a cinque milioni di accessi WordPress malevoli negli ultimi trenta giorni.

Secondo il rapporto, gli hacker dietro questo attacco utilizzano quattro server di comando e controllo per inviare richieste a oltre 14.000 server proxy da un provider russo. Questi proxy vengono quindi utilizzati per anonimizzare il traffico e inviare istruzioni e uno script ai siti "slave" di WordPress infetti riguardo a quali degli altri siti WordPress possono essere presi di mira. I server dietro l'attacco sono ancora online e mirano principalmente all'interfaccia XML-RPC di WordPress per provare una combinazione di nomi utente e password per gli accessi amministrativi.

"Le liste di parole associate a questa campagna contengono piccole serie di password molto comuni. Tuttavia, lo script include funzionalità per generare dinamicamente password appropriate basate su modelli comuni … Sebbene questa tattica non riesca a raggiungere un determinato sito, può essere molto efficace se utilizzata su vasta scala su un numero elevato di destinazioni ", spiega The Defiant Threat Squadra di intelligence

Gli attacchi all'interfaccia XML-RPC non sono nuovi e risalgono al 2015 . Se temete che il vostro account WordPress possa essere influenzato da questo attacco, il team Defiant Threat Intelligence segnala che è meglio abilitare restrizioni e lockout per accessi non riusciti. Puoi anche considerare l'utilizzo di plugin WordPress che proteggono dagli attacchi brute force, come il plugin di Wordfence .

Il team Defiant Threat Intelligence ha condiviso informazioni sugli attacchi con le forze dell'ordine. Sfortunatamente, ZDNet segnala che i quattro server di comando e controllo non possono essere portati offline perché sono ospitati su un provider che non rispetta le richieste di rimozione. Tuttavia, i ricercatori contatteranno i provider di hosting identificati con i siti slave infetti per cercare di limitare la portata dell'attacco.

Alcuni dati sono stati omessi dal report originale su questo attacco perché può essere sfruttato da altri. L'uso dei proxy rende inoltre difficile individuare la posizione degli attacchi, ma l'attaccante ha commesso degli errori che hanno consentito ai ricercatori di accedere all'interfaccia dei server di comando e controllo dietro l'attacco. Tutte queste informazioni vengono considerate "una grande quantità di dati preziosi" per gli investigatori.

• I proprietari di siti ROM hanno ordinato di pagare a Nintendo più di € 12 milioni
• Amazon aggiusta i suoi algoritmi di ricerca con un nuovo sito di shopping basato sull'intelligenza artificiale?

( Fonte )