WordPress的安全插件程序供应商Defiant上周指出,黑客利用2万个僵尸WordPress网站针对网络上其它的WordPress网站发动暴力攻击,形成手足相残的现象。
Defiant安全研究人员Mikey Veenstra表示,黑客集团通过4台命令暨控制(C&C)服务器向接近1.5万台代理服务器送出请求,以用来遮掩发送命令的流量,再将这些命令发送到2万个已被黑客控制的WordPress网站,之后这些WordPress网站即会对网络上的其它WordPress网站发动暴力攻击。
分析显示,这些被黑客用来执行暴力攻击的WordPress网站几乎全都是由知名企业托管,而且所有的攻击都是锁定WordPress的远程程序调用(XML-RPC)界面。
此外,研究人员也发现与这些请求有关的用户代理(User-Agent)字符串符合那些经常与XML-RPC交互的应用,如wp-iphone或wp-android;由于这些应用的凭证通常存放在本地端,不应有大量的失败登录,才引起他们的注意,进而发现到这2万WordPress大军的攻击行动。
由WordPress大军展开的暴力攻击行动会针对XML-RPC界面测试用户名与密码,并在每个请求中随机玩弄用户代理字符串,被成功攻陷的WordPress网站就会再加入僵尸大军的行列。
即使黑客企图以代理服务器来掩饰来源,但Defiant仍然挖掘出这4台C&C服务器分别座落于荷兰、罗马尼亚与俄罗斯。
Defiant已向执法机构报案,也建议WordPress用户最好限制登录失败的次数,以免受害。