براساس گزارش شرکت دیفاینت، سازنده افزونه فایروال وردفنس «Wordfence»، طی یک ماه گذشته بیش از پنج میلیون تلاش برای ورود به وبسایتهایی که از افزونه امنیتی این شرکت استفاده میکنند، مشاهده و ثبت شده است. به گفته دیفاینت، این حملات توسط وبسایتهای وردپرسی آلوده به یک باتنت انجام شدهاند.
متخصصان شرکت دیفاینت اعلام کردهاند که حملات انجام شده، برپایه حمله دیکشنری «dictionary attack» بوده و هدف اولیه مهاجمان بدست آوردن نام کاربری و گذرواژه مدیران وبسایتهای وردپرسی است. این شرکت در گزارش خود توضیح داده است که این باتنت توسط یک سیستم مرکزی که به چهار سرور کنترل و فرمان متصل است، مدیریت میشود.
به گفته دیفاینت، این سرورها دستورالعملهای حمله را از طریق یک شبکه پراکسی به اسکریپتهای مخرب بهکار رفته در وبسایتهای از پیش آلوده شده ارسال میکند. براساس بررسیهای دیفاینت، در حدود ۱۴ هزار سرور پراکسی توسط مهاجمان برای اینکار مورد استفاده قرار گرفته است.
اسکریپتهای مخرب موجود در وبسایتهای وردپرسی آلوده، پس از دریافت لیست اهدافی جدید از طرف سرور کنترل و فرمان، براساس الگوهای از پیش تعریف شده لیستی از گذرواژههای احتمالی را ایجاد و از آن برای حمله به مکانیسم احراز هویت برپایه XML-RPC در دیگر وبسایتهای وردپرسی استفاده میکند.
پروتکل XML-RPC، یکی از بسترهای فراخوانی دستورها از راه دور در وبسایتهای وردپرسی است که توصیه میشود در صورت عدم استفاده از آن، این قابلیت را حتما غیرفعال کنید.
توضیحات بیشتر در:
- Botnet of Infected WordPress Sites Attacking WordPress Sites