安全公司wordfence的专家发现了一个由超过20,000个wordpress站点组成的僵尸网络,这个僵尸网络被用来攻击其他运行在流行的cms上的站点并招募它们。
“黑客使用4台指挥控制(c2)服务器向俄罗斯一家名为best proxy [.]ru的代理提供商提供的14,000多台代理服务器发送请求。”wordfence发表的分析中写道。
他们使用这些代理来匿名化c2的流量。这些请求通过代理服务器发送到超过20,000个受感染的wordpress站点。这些网站正在运行一个攻击脚本,攻击目标是wordpress网站。
僵尸网络被攻击者用来对其他wordpress站点进行强力攻击,根据wordfence挑衅性威胁情报小组的数据,僵尸网络已经产生了超过500万的认证请求。僵尸网络试图对其他wordpress站点进行xml-rpc身份验证,以便访问特权帐户。
xml-rpc接口允许用户使用wordpress或其他api远程将内容发布到wordpress站点,它位于xmlrpc上wordpress安装的根目录中。php文件。
不幸的是,xml-rpc接口没有实现对可能提交的api请求数量的速率限制,这是对暴力攻击者的一种礼物。
通过对恶意基础设施的仔细研究,专家们发现,黑客使用了4台命令和控制服务器,这些服务器通过俄罗斯best - agent .ru服务的代理服务器向机器人发出命令。专家们确定了僵尸主机用于匿名化流量的14000多台代理服务器。
一旦wordpress站点受到攻击,它将开始对其他站点的xml-rpc接口进行强力攻击。
“我们还注意到,与这些请求相关联的用户代理字符串与通常与xml-rpc接口交互的应用程序(如wp-iphone和wp-android)使用的字符串相匹配,”分析继续。
“由于这些应用程序通常将凭证存储在本地,因此它们很少出现大量登录失败的情况,这引起了我们的注意。”我们发现超过20,000个wordpress奴隶站点正在攻击其他wordpress站点。
攻击者使用的蛮力脚本接受来自c2服务器的post输入,请求包括用于目标的域和执行蛮力攻击时使用的单词列表。
也可以通过提供脚本的url来使用新的单词列表。
wordfence向当局报告了这一发现,并帮助他们拆除wordpress僵尸网络。
pierluigi帕格尼尼
(安全事务-wordpress僵尸网络,黑客)
