由超过20k的安装的WordPress僵尸网络目标是其他网站

安全公司Wordfence的专家发现了一个由超过20,000个WordPress站点组成的僵尸网络，这个僵尸网络被用来攻击其他运行在流行的CMS上的站点并招募它们。

“黑客使用4台指挥控制(C2)服务器向俄罗斯一家名为best proxy [.]ru的代理提供商提供的14,000多台代理服务器发送请求。”WordFence发表的分析中写道。

他们使用这些代理来匿名化C2的流量。这些请求通过代理服务器发送到超过20,000个受感染的WordPress站点。这些网站正在运行一个攻击脚本，攻击目标是WordPress网站。

僵尸网络被攻击者用来对其他WordPress站点进行强力攻击，根据Wordfence挑衅性威胁情报小组的数据，僵尸网络已经产生了超过500万的认证请求。僵尸网络试图对其他WordPress站点进行XML-RPC身份验证，以便访问特权帐户。

XML-RPC接口允许用户使用WordPress或其他api远程将内容发布到WordPress站点，它位于xmlrpc上WordPress安装的根目录中。php文件。

不幸的是，XML-RPC接口没有实现对可能提交的API请求数量的速率限制，这是对暴力攻击者的一种礼物。

通过对恶意基础设施的仔细研究，专家们发现，黑客使用了4台命令和控制服务器，这些服务器通过俄罗斯best - agent .ru服务的代理服务器向机器人发出命令。专家们确定了僵尸主机用于匿名化流量的14000多台代理服务器。

一旦WordPress站点受到攻击，它将开始对其他站点的XML-RPC接口进行强力攻击。

“我们还注意到，与这些请求相关联的用户代理字符串与通常与XML-RPC接口交互的应用程序(如wp-iphone和wp-android)使用的字符串相匹配，”分析继续。

“由于这些应用程序通常将凭证存储在本地，因此它们很少出现大量登录失败的情况，这引起了我们的注意。”我们发现超过20,000个WordPress奴隶站点正在攻击其他WordPress站点。

攻击者使用的蛮力脚本接受来自C2服务器的POST输入，请求包括用于目标的域和执行蛮力攻击时使用的单词列表。

也可以通过提供脚本的URL来使用新的单词列表。

Wordfence向当局报告了这一发现，并帮助他们拆除WordPress僵尸网络。

Pierluigi帕格尼尼

(安全事务-WordPress僵尸网络，黑客)