حمله ۲۰ هزار وب‌سایت وردپرسی آلوده به بات‌نت به دیگر وب‌سایت‌ها

براساس خبرهای منتشر شده، هکرها توانسته‌اند با آلوده‌سازی بیش از ۲۰ هزار وب‌سایت وردپرسی به یک بات‌نت، شبکه‌ای عظیم برای حمله به دیگر وب‌سایت‌های وردپرس ایجاد کنند. به گفته محققان، این بات‌نت با حمله لغت‌نامه‌ای، احراز هویت در بستر پروتکل XML-RPC وردپرس را مورد هدف قرار می‌دهد.

براساس گزارش شرکت دیفاینت، سازنده افزونه فایروال وردفنس «Wordfence»، طی یک ماه گذشته بیش از پنج میلیون تلاش برای ورود به وب‌سایت‌هایی که از افزونه امنیتی این شرکت استفاده می‌کنند، مشاهده و ثبت شده است. به گفته دیفاینت، این حملات توسط وب‌سایت‌های وردپرسی آلوده به یک بات‌نت انجام شده‌اند.

متخصصان شرکت دیفاینت اعلام کرده‌اند که حملات انجام شده، برپایه حمله دیکشنری «dictionary attack» بوده و هدف اولیه مهاجمان بدست‌ آوردن نام کاربری و گذرواژه مدیران وب‌سایت‌های وردپرسی است. این شرکت در گزارش خود توضیح داده است که این بات‌نت توسط یک سیستم مرکزی که به چهار سرور کنترل و فرمان متصل است، مدیریت می‌شود. 

حمله ۲۰ هزار وب‌سایت وردپرسی آلوده به بات‌نت به دیگر وب‌سایت‌ها

به گفته دیفاینت، این سرور‌ها دستورالعمل‌های حمله را از طریق یک شبکه پراکسی به‌ اسکریپت‌های مخرب به‌کار رفته در وب‌سایت‌های از پیش آلوده شده ارسال می‌کند. براساس بررسی‌های دیفاینت، در حدود ۱۴ هزار سرور پراکسی توسط مهاجمان برای این‌کار مورد استفاده قرار گرفته است. 

اسکریپت‌های مخرب موجود در وب‌سایت‌های وردپرسی آلوده، پس از دریافت لیست اهدافی جدید از طرف سرور کنترل و فرمان، براساس الگوهای از پیش تعریف شده لیستی از گذرواژه‌های احتمالی را ایجاد و از آن برای حمله به مکانیسم احراز هویت برپایه XML-RPC در دیگر وب‌سایت‌های وردپرسی استفاده می‌کند.

پروتکل XML-RPC، یکی از بسترهای فراخوانی دستورها از راه دور در وب‌سایت‌های وردپرسی است که توصیه می‌شود در صورت عدم استفاده از آن، این قابلیت را حتما غیرفعال کنید.

 

 

توضیحات بیشتر در:

Botnet of Infected WordPress Sites Attacking WordPress Sites