Ein Botnet aus Wordpress-Seiten attackiert Wordpress-Seiten

Hacker haben aus infizierten Wordpress-Websites ein Botnetz gebaut, um Angriffe auf andere Wordpress-Installationen durchzuführen. Dies meldet die Security-Firma Defiant, welche selbst ein Wordpress-Security-Plugin anbietet.
 
Es handle sich um eine Brute-Force-Attacke, konkret einen Wörterbuchangriff. "Dabei wird versucht, die XML-RPC-Authentifizierung für andere Wordpress-Websites durchzuführen, um auf privilegierte Konten zugreifen zu können", so Defiant.
 
Der Report, auf der Website des eigenen Wordpress-Plugins Wordfence publiziert, erläutert Hintergründe. Die Hacker sollen laut dem Report vier Command-and-Control-Server (C2) einsetzen und Requests via 14'000 Proxy-Server eines russischen Proxy-Providers leiten und dann, im nächsten Schritt, mit Hilfe der infizierten Wordpress-Installationen die Attacke durchführen.
 
Die C2-Server sind laut Defiant in Rumänien, Russland und Holland, sie sollen zwei Firmen gehören, die mit "Bulletproof-Hosting"-Services in Verbindung gebracht werden, wie sie gerne von Spammern und anderen Kriminellen genutzt werden.
 
Dass die Forscher trotz Proxy-Servern die Struktur der Attacken offenlegen und die C2-Server lokalisieren konnte, hat laut Defiant mit einer fehlerhaften Implementation der Brute-Force-Skripts zu tun. Detailinformationen zum Vorgehen der Forscher finden sich online. (mag)