Egymásra támadtak a WordPress oldalak

Egy botnet immár több mint 20 ezer WordPress alapú weboldalt kebelezett be, és egyre csak terebélyesedik.
 

A legnépszerűbb, nyílt forráskódú tartalomkezelők elleni kibertámadások nem új keletűek. Számos alkalommal láttunk már olyan esetet, amikor leginkább automatizált módon, különféle sebezhetőségek kihasználásával igyekeztek a támadók weboldalakat hatalmukba keríteni vagy akár megfertőzni különböző nemkívánatos kódokkal. Azonban a WordPress biztonságával foglalkozó Defiant cég által feltárt legutóbbi akció minden korábbinál koordináltabbnak tűnik, és nem is könnyű gátat szabni neki.
 
A biztonsági kutatók vizsgálatai arra világítottak rá, hogy az új botnet egyelőre arra alkalmas, hogy egyre szélesebb körbe vonjon be maga alá újabb webhelyeket. Ehhez a már megfertőzött oldalakat is segítségül hívja, így a támadók rendelkezésére álló erőforrások tulajdonképpen önmagukat gerjesztik.
 
A botnet mögött egy többszintű infrastruktúra húzódik meg. A jelenlegi információk szerint legalább három vezérlőszerver tartozik hozzá, amelyekről a fertőzött oldalak információkat, parancsokat szereznek be. A vezérlőszervereket a csalók a Best-Proxies.ru proxy szolgáltatásai mögé rejtik. (Ez az orosz szolgáltatás jelenleg 14 ezer proxy kiszolgálót üzemeltet.) Az infrastruktúra legalsó szintjén pedig a több ezer fertőzött weboldal található.


Forrás: Defiant
 
A kompromittált webhelyekben lévő kódok feladata, hogy a vezérlőszerverekről lekérdezzék az új célpontok listáját, és azok ellen brute force támadásokat kezdeményezzenek. Ennek során a WordPress XML-RPC képességeit használják ki. Vagyis API-kon keresztül előre meghatározott felhasználónév és jelszó párosok próbálgatásával igyekeznek kipuhatolni érvényes hitelesítő adatokat. Ebben a folyamatban a legfontosabb szerep a WordPress-hez tartozó xmlrpc.php fájlra hárul, amely fogadja a kéréseket. Sajnos ez "gyárilag" nem rendelkezik brute force elleni védelemmel, vagyis a támadókódok a végtelenségig próbálkozhatnak.
 

 
 
Olvassa tovább
Prémium előfizetéssel!
 
  1. 4

    A Microsoft Edge két biztonsági hiba miatt kapott frissítést.

  2. 4

    A WordPress kompatibilis Forminator bővítmény súlyos biztonsági hibát tartalmaz.

  3. 3

    A Graylog esetében egy biztonsági hiba megszüntetésére nyílt lehetőség.

  4. 4

    A Tenable Nessus három biztonsági frissítést kapott.

  5. 3

    Az Apache Hive fejlesztői egy biztonsági hibát javítottak.

  6. 5

    A Google Chrome egy kritikus veszélyességű, nulladik napi biztonsági rést foltozott be a Chrome webböngészőn.

  7. 5

    A Cisco két súlyos sérülékenységet szüntetett meg az Identity Services Engine-ben.

  8. 3

    A Python öt biztonsági hibajavítással lett gazdagabb.

  9. 3

    A Trend Micro Password Manager kapcsán egy újabb biztonsági rendellenességre derült fény.

  10. 4

    A Brother nyomtatói és multifunkciós készülékei kapcsán 8 biztonsági hibára derült fény.

Partnerhírek
​A csaló telefonhívásokon és a nem létező gázszámlákon túl

Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.

​Az ESET kutatói vizsgálták a RansomHub csoportot

Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a domináns RansomHub csoportra.

hirdetés
Közösség