مهاجمان با به خدمت گرفتن بیستهزار سایت مبتنی بر WordPress از آنها برای تسخیر سایر سایتهای مبتنی بر این سامانه مدیریت محتوا و گسترش شبکه مخرب خود بهره گرفتهاند.
بر اساس تحقیقی که شرکت امنیتی دیفاینت آن را منتشر کرده است سایتهای تحت کنترل این شبکه مخرب قادر به دریافت فرامین از سرورهای فرماندهی مهاجمان و اجرای حملات موسوم به سعیوخطا (Brute-force) هستند.
در جریان این حملات سعیوخطا بخش XML-RPC سایت مبتنی بر WordPress هدف قرار گرفته و با ترکیب فهرستی از نامهای کاربری و رمزهای عبور تلاش میشود تا اطلاعات اصالتسنجی موردنیاز برای دسترسی به سایت شناسایی شود.
XML-RPC امکانی است که مدیران سایت را قادر میسازد تا بهصورت از راه دور اقدام به ارسال محتوا به سایت مبتنی بر WordPress کنند.
متاسفانه در تنظیمات پیشفرض XML-RPC محدودیتی برای تعداد درخواستهای ناموفق در نظر گرفته نشده است. بنابراین یک مهاجم قادر است که فهرستی بلندبالا از نامهای کاربری و رمزهای عبور را تا دستیابی به نام کاربری و رمز عبور صحیح امتحان کند.
دیفاینت تعداد سرورهای فرماندهی استفاده شده در این حملات را چهار مورد گزارش کرده است. برای مخفی نگاه داشتن گردانندگان اصلی نیز از بیش از 14 هزار سرور پروکسی Best-Proxies.ru که یک سرویسدهنده پراکسی روسی است بهره گرفته شده است.
به گزارش شرکت مهندسی شبکه گستر، به سایتهای آلوده شده اسکریپتی تزریق شده که با روش POST فرامینی را از سرور فرماندهی دریافت میکند. در این فرامین نام دامنههایی که باید توسط سایت مورد حمله قرار گیرد به همراه فهرستی از کلمات مشخص شده است.
بهمحض دریافت، سایت تحت تسخیر شبکه مخرب اقدام به اجرای حملات سعیوخطا با استفاده از فهرست مذکور بر ضد واسط XML-RPC سایت قربانی میکند تا از این طریق اطلاعات اصالتسنجی استخراج شود.
اصلیترین راهکار در مقابله با این تهدیدات بکارگیری نامهای کاربری و رمزهای عبور پیچیده و غیرمتداول است. ضمن اینکه بکارگیری افزونههایی که تعداد تلاشهای ناموفق برای دستیابی به سامانه مدیریتکننده سایت را محدود میکنند توصیه میشود.
مشروح گزارش دیفاینت در اینجا قابل دریافت و مطالعه است.