اخبار

حمله به بیش از ۲۰۰۰۰ وب سایت وردپرس

مهاجمین پس از حمله به بیش از ۲۰هزار وب‌سایت وردپرس از وب‌سایت‌های آلوده برای حمله به دیگر وب‌سایت‌های وردپرس استفاده می‌کنند. شرکتی که افزونه‌ی Wordfence را مدیریت و منتشر می‌کند (این افزونه دیواره آتشی برای وب‌سایت‌های وردپرس است)، می‌گوید«این افزونه در یک ماه گذشته از سمت وب‌سایت‌های آلوده‌شده، بیش از ۵ میلیون تلاش ورود به وب‌سایت‌های دیگر را شناسایی کرده است.»

کارشناسان امنیت به این نوع از حملات، حملات مبتنی بر دیکشنری می‌گویند. این حملات درواقع تلاش‌های ورود پی‌درپی هستند، که درطی آن هکرها برای دسترسی به یک حساب کاربری، ترکیباتی از نام کاربری و رمز عبور را بر روی وب‌سایت هدف آزمایش می‌کنند.

محققان شرکت Defiant کشف کردند که قسمت بالای سر این بات‌نت همانند ابزار Hydra عمل می‌کند و از چهار سرور Command and Control تشکیل‌شده است و از طریق وب‌سایت‌های آلوده‌شده به وب‌سایت‌های دیگر حمله می‌کند.

وردپرس مکانسیم حمله بات نت

سرور‌های این بات‌نت دستورالعمل حملات خود را از طریق شبکه‌ای با بیش از ۱۴هزار پروکسی سرور (که از بهترین سرویس‌دهنده‌های پروکسی اجاره‌شده است) ارسال می‎کند، که این اطلاعات در اسکریپت‌های وب‌سایت‌های آلوده‌شده منتقل می‌شود. این اسکریپت‌ها فهرستی از اهداف را از سرور‌های Command andControl دریافت کرده‌ و می‌خوانند.  همچنین فهرستی از کلمات عبور را بر اساس فهرستی از الگوهای کلمات عبور از پیش تعریف‌شده جمع‌آوری می‌کنند و سپس سعی می‌کنند از کلمات عبور جدید ایجادشده، برای ورود به‌حساب کاربری Admin وب‌سایت‌های دیگر استفاده کنند.

به‌عنوان‌مثال اگر اسکریپت Brute Force بخواهد تلاشی برای ورود به وب‌سایت Example.com با نام کاربری alice انجام دهد، کلمات عبوری مانند alice1 ،alice2018 را تولید می‌کند. در این گزارش توضیح داده‌شده است، که هرچند این تکنیک برای هر یک از وب‌سایت‌های هدف جواب‌گو نیست ولی برای تعداد اهداف بسیار زیاد، می‌تواند بسیار مؤثر باشد.

در حالت معمولی چون مهاجمان از شبکه‌ای باتعداد زیادی پروکسی استفاده می‌کنند، محل این سرورهای  Command and Control پنهان می‌ماند و محققان نمی‌توانند تمامی فعالیت بات‌نت را پیگیری کنند. خوشبختانه شرکت Defiant می‌گوید کسانی که پشت ایجاد این بات‌نت بودند، برخی اشتباهات در ساختار اسکریپت‌های Brute Force انجام داده‌اند که به محققان اجازه داد تا زیرساخت کامل بات‌نت را افشا کنند.

خوشبختانه اشتباهات در اسکریپت‌های Brute Force متوقف نشد واپراتور‌های بات‌نت در پیاده‌سازی مکانیسم احراز هویت برای پنل مدیریتی خود نیزاشتباه کردند. شرکت Defiant می‌گوید محققان آن‌ها توانستند از سیستم ورود به پنل مدیریتی بات‌نت عبور کنند و زیرچشمی عملکرد مجرمان را زیر نظر بگیرند.

چه‌کار کنیم؟

این بات‌نت حملات خود را برای صفحه ورود به پنل وردپرس به کار نمی‌برد، و در عوض به مکانیسم احراز هویت XML-RPC مربوط به WordPress حمله می‌کند؛ به همین دلیل تغییر دادن URL پنل مدیریتی وب‌سایت کمکی به جلوگیری از این بات‌نت نمی‌کند.

شرکت Defiant توصیه می‌کند که صاحبان وب‌سایت‌های وردپرس از یک افزونه امنیتی برای جلوگیری و مقابله با حملات مبتنی بر دیکشنری و Brute Force بر روی سرویس XML-RPC استفاده کنند.

خوشبختانه، درسال‌های اخیر حملات بر روی مکانیسم احراز هویت XML-RPC در حال کاهش است و هر دیواره آتش وردپرس باید بتواند این حملات را مسدود کند.

مطالب مرتبط:
مراحل امن سازی وب‌سایت های مبتنی بر وردپرس
رفع آسیب‌پذیری بحرانی پلاگین معروف WooCommerce وردپرس – ویدیو

منبع: ZDNet

حمله به بیش از ۲۰۰۰۰ وب سایت وردپرس
To Top