wordpress的安全插件程序供应商defiant上周指出,黑客利用2万个僵尸wordpress网站针对网络上其它的wordpress网站发动暴力攻击,形成手足相残的现象。
defiant安全研究人员mikey veenstra表示,黑客集团通过4台命令暨控制(c&c)服务器向接近1.5万台代理服务器送出请求,以用来遮掩发送命令的流量,再将这些命令发送到2万个已被黑客控制的wordpress网站,之后这些wordpress网站即会对网络上的其它wordpress网站发动暴力攻击。
分析显示,这些被黑客用来执行暴力攻击的wordpress网站几乎全都是由知名企业托管,而且所有的攻击都是锁定wordpress的远程程序调用(xml-rpc)界面。
此外,研究人员也发现与这些请求有关的用户代理(user-agent)字符串符合那些经常与xml-rpc交互的应用,如wp-iphone或wp-android;由于这些应用的凭证通常存放在本地端,不应有大量的失败登录,才引起他们的注意,进而发现到这2万wordpress大军的攻击行动。
由wordpress大军展开的暴力攻击行动会针对xml-rpc界面测试用户名与密码,并在每个请求中随机玩弄用户代理字符串,被成功攻陷的wordpress网站就会再加入僵尸大军的行列。
即使黑客企图以代理服务器来掩饰来源,但defiant仍然挖掘出这4台c&c服务器分别座落于荷兰、罗马尼亚与俄罗斯。
defiant已向执法机构报案,也建议wordpress用户最好限制登录失败的次数,以免受害。
