WordPress的安全插件程序供應商Defiant上週指出,黑客利用2萬個殭屍WordPress網站針對網絡上其它的WordPress網站發動暴力攻擊,形成手足相殘的現象。
Defiant安全研究人員Mikey Veenstra表示,黑客集團通過4臺命令暨控制(C&C)服務器向接近1.5萬臺代理服務器送出請求,以用來遮掩發送命令的流量,再將這些命令發送到2萬個已被黑客控制的WordPress網站,之後這些WordPress網站即會對網絡上的其它WordPress網站發動暴力攻擊。
分析顯示,這些被黑客用來執行暴力攻擊的WordPress網站幾乎全都是由知名企業託管,而且所有的攻擊都是鎖定WordPress的遠程程序調用(XML-RPC)界面。
此外,研究人員也發現與這些請求有關的用戶代理(User-Agent)字符串符合那些經常與XML-RPC交互的應用,如wp-iphone或wp-android;由於這些應用的憑證通常存放在本地端,不應有大量的失敗登錄,才引起他們的注意,進而發現到這2萬WordPress大軍的攻擊行動。
由WordPress大軍展開的暴力攻擊行動會針對XML-RPC界面測試用戶名與密碼,並在每個請求中隨機玩弄用戶代理字符串,被成功攻陷的WordPress網站就會再加入殭屍大軍的行列。
即使黑客企圖以代理服務器來掩飾來源,但Defiant仍然挖掘出這4臺C&C服務器分別座落於荷蘭、羅馬尼亞與俄羅斯。
Defiant已向執法機構報案,也建議WordPress用戶最好限制登錄失敗的次數,以免受害。