พบการโจมตีแบบ botnet บนเว็บ WordPress กว่า 20,000 เว็บ

Defiant เป็นบริษัทรักษาความปลอดภัยบน WordPress ได้ออกมาเปิดเผยเกี่ยวกับการโจมตีแบบ botnet บนเว็บ WordPress กว่า 20,000 เว็บ การโจมนี้เป็นการทำให้เว็บ WordPress ติดเชื้อและแพร่เชื้อไปยังเว็บ WordPress ด้วยกันเอง

Defiant ได้พบการโจมตีนี้จากความผิดปกติในการล็อกอินเข้าสู่ระบบไม่ผ่านหลายครั้งของลูกค้า WordPress ที่ทำเป็นว่า ล็อกอินผ่านระบบของ iPhone กับ Android

เป้าหมายของการโจมตีในครั้งนี้ก็เพื่อขโมยรหัสผ่านจากผู้ให้บริการเซิร์ฟเวอร์ของรัสเซีย (Russian proxy provider) กับผู้พัฒนาแอพพลิเคชั่น (API)

การโจมตีนี้เกิดจากการที่แฮกเกอร์ใช้ command and control servers (C2) 4 ชุดในการออกคำสั่งการโจมตีแบบ botnet ไปยังเว็บ WordPress กว่า 20,000 เว็บผ่าน proxy servers ที่อยู่ในรัสเซีย ที่ใช้ชื่อบริการว่า Best-Proxies.ru

แฮกเกอร์จะส่งคำขอไปยัง proxy servers กว่า 14,000 รายที่อยู่ใน Best-Proxies.ru ทำการออกคำสั่งให้ C2 ส่งคำขอแบบไม่ระบุชื่อไปยังตัวจัดการ XML-RPC ของ WordPress เพื่อที่จะทำการโจมตีแบบ brute force จากนั้นจะทำการสุ่มหาบัญชีผู้ใช้กับรหัสผ่าน เมื่อได้บัญชีและรหัสผ่านที่ถูกต้องแล้ว XML-RPC จะหยุดการทำงาน แฮกเกอร์จะใช้ประโยชน์จากส่วนนี้ทำการโพสต์เนื้อหาบนเว็บ WordPress โดยใช้ WordPress หรือ API อื่นๆ จุดที่ XML-RPC หยุดการทำงานนี้จะอยู่ในไฟล์ xmlrpc.php ซึ่งตั้งอยู่บน root ไดเรกทอรีของตัวติดตั้ง WordPress

เว็บ WordPress ที่ติดเชื้อแล้วจะได้รับคำสั่งให้ทำการโจมตีแบบ brute force ไปยังส่วนที่เชื่อมต่อกับ XML-RPC เพื่อที่จะล็อกอินเข้าสู่ระบบได้ระบบ

ในตอนนี้ระบบป้องกันการโจมตีแบบ brute-force และ IP blacklist ของ Wordfence ได้ทำการบล็อกคำร้องการเข้าระบบที่ได้รับรองความถูกต้อง โดยที่คำร้องเหล่านี้มาจากการโจมตีนี้กว่า 5 ล้านบัญชีแล้ว รายละเอียดเพิ่มเติม สามารถดูได้จากรายงานของ Wordfence

ทาง Defiant กำลังตรวจสอบเว็บที่โดนการโจมตีนี้ และสคริปต์ที่ใช้ในการโจมตีนี้ สำหรับวิธีการป้องกันควรติดตั้งปลั๊กอินที่จำกัดจำนวนการล็อกอิน หากเกิดมีการพยายามล็อกอินเข้าหลายๆ ครั้ง

ที่มา: Threat Post, Bleeping Computer, Wordfence