一个由20000多个WordPress站点组成的僵尸网络正攻击并感染其他WordPress站点

一个由20000多个WordPress站点组成的僵尸网络正在大肆攻击并感染其他WordPress站点。一旦有新的网站被被攻破，这些网站就也会被添加到僵尸网络中，让它们为攻击者服务。

在WordPress安全公司Defiant发布的最新研究中，发现有黑客收集了20000多个WordPress组成一个僵尸网络，黑客让僵尸网络中的机器暴力破解其他的WordPress网站的登入界面。Defiant还表示，通过在它们的Wordfence暴力保护模块和IP黑名单，它们已经阻止了来自大约500多万个暴力破解认证请求。

这次暴力攻击的目标是WordPress的xm l-RPC功能，以便暴力遍历用户名和密码组合，直到发现有效的帐户。xm l-RPC功能可以让远程用户通过使用WordPress或其他API将内容远程发布到WordPress站点。该特性主要是由位于WordPress安装根目录的xm lrpc.php文件实现的。

而xm l-RPC的问题在于，在其默认设置中，它没有对发出的API请求的数量进行限制。这意味着攻击者可以一直暴力尝试不同的用户名和密码，除非用户检查日志，否则没有人会发现异常。

攻击解析

此攻击是由黑客利用四个命令和控制服务器(C2)进行的，这些服务器通过位于俄罗斯Best-Proxies.ru服务的代理服务器向全球超过20000个WordPress站点组成的僵尸网络发出命令。攻击者使用Best-Proxies.ru提供的超过14000个代理服务器来隐藏化他发出的控制命令。

一旦受控制的的WordPress站点接收到指定命令，它们就会开始强制破解目标的xm l-RPC接口，以获取登录凭据。

Defiant之所以注意到了这次攻击，是因为当他们观测到大量伪装成iPhone和Android WordPress客户端的登录失败。

“我们还注意到，这些请求中的User-Agent请求头与常见于与xm l-RPC接口交互的APP所使用的User-Agent相同，如wp-iphone和wp-android，”Defiant的研究指出。由于这些APP通常会在本地存储登入凭据，因此很少看到大量失败的登录尝试，这就引起了我们的注意。我们目前观察到超过20000个WordPress站点服务器攻击其他WordPress站点。

通过检查被影响的站点，Defiant能够找到暴力破解相关的脚本。这些脚本将接受来自C2服务器的POST输入，这些C2服务器告诉脚本在执行暴力攻击时要针对哪些域名以及要使用哪些字典。

在进一步检查脚本时，可以发现脚本将接受一个URL参数来检索服务器上所有字典是否缺失。

这使Defiant得到一个C2服务器的IP地址。而当他们获得了该IP地址访问权限，他们就能够看到各种可能从服务器发出的命令以及僵尸网络的站点数量。

Defiant正在与世界各地的执法部门合作，通知受影响的用户并拆除整个僵尸网络。

保护WordPress网站免受攻击

为了保护自己免受暴力攻击，您需要安装一个插件，该插件限制了攻击者的失败的登录尝试的数量。

有很多插件可以执行这个特性，包括Defiant的WordFence插件，每个站点每年花费为89美元。

原文链接：https://www.bleepingcomputer.com/news/security/botnet-of-20-000-wordpress-sites-infecting-other-wordpress-sites/