El ataque masivo a sitios hechos con WordPress

Los analistas de seguridad han detectado un ataque continuo que utiliza un gran número de equipos de Internet para ordenar servidores que ejecutan la aplicación de blogs de WordPress.

Las personas desconocidas detrás del ataque altamente distribuido están usando más de 90.000 direcciones IP a las credenciales administrativas de crack de fuerza bruta de vulnerables sistemas de WordPress, informaron investigadores de al menos tres servicios de alojamiento web. Al menos una compañía advirtió que los atacantes pueden estar en el proceso de construir una “botnet” de computadoras infectadas que es mucho más fuerte y más destructiva que las disponibles hoy en día. Esto se debe a que los servidores tienen conexiones de ancho de banda que suelen ser decenas, cientos o incluso miles de veces más rápido que las botnets hechas con máquinas infectadas en hogares y pequeñas empresas.

“Estas máquinas más grandes pueden causar mucho más daño en los ataques DDoS [distribuidos de denegación de servicio] porque los servidores tienen grandes conexiones de red y son capaces de generar cantidades significativas de tráfico”.

No es la primera vez que los investigadores han planteado el espectro de una botnet súper con potencialmente graves consecuencias para Internet. En octubre, revelaron que los ataques DDoS altamente debilitantes en seis de los mayores bancos estadounidenses utilizaron servidores Web comprometidos para inundar sus objetivos con cantidades superiores a la media de tráfico de Internet. La botnet llegó a ser conocido como el itsoknoproblembro o Brobot, nombres que provenían de un relativamente nuevo kit de herramientas de ataque que algunas de las máquinas infectadas funcionaban. Si las botnets típicas usadas en ataques DDoS eran el equivalente en red de decenas de miles de mangueras de jardín entrenadas en un objetivo, las máquinas Brobot eran similares a cientos de mangueras de incendios. A pesar de su menor número, sin embargo, fueron capaces de infligir más daño debido a su mayor capacidad.

Ya hay evidencia de que algunos de los sitios web de WordPress que han sido requisados ​​están siendo abusados ​​de una manera similar.

“Para darle un poco de historia, recientemente escuchamos de una agencia policial importante acerca de un ataque masivo contra instituciones financieras de Estados Unidos que provienen de nuestros servidores”, informó el blog. “Hicimos un análisis detallado del patrón de ataque y descubrimos que la mayoría del ataque provenía de [sistemas de administración de contenido] (en su mayoría WordPress). Un análisis más profundo reveló que las cuentas de administración habían sido comprometidas (de una forma u otra) y Las secuencias de comandos maliciosas se subieron a los directorios. ”

Los ataques aún continúan:

Según los expertos, los ataques distribuidos intentan forzar brutalmente los portales administrativos de los servidores de WordPress, empleando el nombre de usuario “admin” y 1.000 o más contraseñas comunes. Dijo que los ataques provienen de decenas de miles de direcciones IP únicas, una valoración que se compara con el hallazgo de más de 90.000 direcciones IP que golpean las máquinas de WordPress alojadas en distintos proveedores de hosting.

“En este momento, te recomendamos que inicies sesión en cualquier instalación de WordPress que tengas y cambie la contraseña a algo que cumpla con los requisitos mínimos de seguridad especificados en el sitio web de WordPress.” Estos requisitos son bastante típicos de una contraseña segura: Y letras minúsculas, con al menos ocho caracteres, e incluyendo caracteres ‘especiales’ (^% $ # @ *). ”

Los operadores de los sitios de WordPress pueden tomar otras medidas también, incluyendo la instalación de plugins como éste y éste, que cierran algunos de los agujeros más explotados en este tipo de ataques. Más allá de eso, los operadores pueden suscribirse a un plan gratuito de CloudFlare que bloquea automáticamente los intentos de inicio de sesión que llevan la firma del ataque de fuerza bruta.

Los proveedores de hosting han indicado que la carga de este tipo de ataque masivo está causando tensiones enormes en los sitios web, que vienen a un arrastre o bajar por completo. También hay indicios de que una vez que una instalación de WordPress está infectada, está se es equipada con una puerta trasera para que los atacantes puedan mantener el control incluso después de que se hayan cambiado las credenciales administrativas comprometidas.

Neothek ofrece servicios de Web Hosting , registro de dominios y certificados SSL y diseño de páginas web.

 

Comparte!

Author: Neothek

Share This Post On