Неуничтожимый ботнет из 20 тыс. сайтов WordPress продолжает разрастаться

6 декабрь, 2018 - 12:04

Неуничтожимый ботнет из 20 тыс. сайтов WordPress продолжает разрастаться

Фирма Defiant, предоставляющая брандмауэр Wordfence для сайтов WordPress, сообщила, что за прошлый месяц выявила свыше пяти миллионов попыток входа со стороны сети из более 20 тыс. инфицированных сайтов WordPress в административные учётные записи других, чистых порталов WordPress.

Атакующие действуют по принципу «грубой силы», перебирая различные комбинации имени пользователя и пароля. «Хотя эта тактика вряд ли приведёт к успеху на каком-либо одном сайте, она может быть очень эффективной при крупномасштабном использовании по большому числу целей», — отметил Мики Веенстра (Mikey Veenstra), исследователь безопасности из Defiant.

Ботнетом управляют четыре командно-контрольных сервера, которые рассылают инструкции заражённым сайтам через сеть из 14 тысяч прокси-серверов, арендованных у сервиса best-proxies[.]ru.

Используя ошибки, допущенные разработчиками ботнета, Defiant удалось обойти систему аутентификации административной панели и составить представление об инфраструктуре и операциях ботнета.

Эта информация была передана в правоохранительные органы, однако они мало что могут предпринять. Верхушка из четырёх управляющих серверов размещена на хостинге HostSailor, который не выполняет предписаний об отключении вредоносных сайтов.

Администраторам сайтов Defiant рекомендует использовать любой из плагинов, блокирующих атаки «грубой силой» и словарные атаки на службу XML-RPC. Поскольку такие атаки известны уже несколько лет, защиту от них обеспечивает большинство брандмауэров, предлагающихся для WordPress.