wordpress的安全外挂程式供应商defiant上周指出,黑客利用2万个僵尸wordpress网站针对网络上其它的wordpress网站发动暴力攻击,形成手足相残的现象。
defiant安全研究人员mikey veenstra表示,黑客集团透过4台命令暨控制(c&c)服务器向接近1.5万台代理服务器送出请求,以用来遮掩传送命令的流量,再将这些命令传送到2万个已被黑客控制的wordpress网站,之后这些wordpress网站即会对网络上的其它wordpress网站发动暴力攻击。
分析显示,这些被黑客用来执行暴力攻击的wordpress网站几乎全都是由知名业者代管,而且所有的攻击都是锁定wordpress的远端程序呼叫(xml-rpc)界面。
此外,研究人员也发现与这些请求有关的用户代理(user-agent)字串符合那些经常与xml-rpc互动的应用,如wp-iphone或wp-android;由于这些应用的凭证通常存放在本地端,不应有大量的失败登录,才引起他们的注意,进而察觉到这2万wordpress大军的攻击行动。
由wordpress大军展开的暴力攻击行动会针对xml-rpc界面测试使用者名称与密码,并在每个请求中随机玩弄用户代理字串,被成功攻陷的wordpress网站就会再加入僵尸大军的行列。
即使黑客企图以代理服务器来掩饰来源,但defiant仍然挖掘出这4台c& c服务器分别座落于荷兰、罗马尼亚与俄罗斯。
defiant已向执法机构报案,也建议wordpress用户最好限制登录失败的次数,以免受害。