{"id":212697,"date":"2018-12-09T00:22:07","date_gmt":"2018-12-08T23:22:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=212697"},"modified":"2018-12-09T00:22:07","modified_gmt":"2018-12-08T23:22:07","slug":"botnetz-von-20-000-infizierten-wordpress-sites","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/12\/09\/botnetz-von-20-000-infizierten-wordpress-sites\/","title":{"rendered":"Botnetz von 20.000 infizierten WordPress-Sites"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Das Sicherheitsteam von Wordfence hat ein Botnetz aus \u00fcber 20.000 infizierten WordPress-Sites aufgedeckt. Dieses wird verwendet, um weitere WordPress-Installationen anzugreifen. <\/p>\n<p><!--more--><\/p>\n<p>Das Ganze ist im <a href=\"https:\/\/www.wordfence.com\/blog\/2018\/12\/wordpress-botnet-attacking-wordpress\/\" target=\"_blank\">Wordfence-Blog beschrieben<\/a>. Das Team von Defiant Threat Intelligence wurde k\u00fcrzlich auf eine Brut-Force-Kampagne gegen WordPress aufmerksam und begann die Angriffe zu verfolgen. Dabei kam heraus, dass diese Kampagne durch ein Botnet von infizierten WordPress-Websites erfolgt. Dieses Botnet versucht Angriffe andere WordPress-Sites per XML-RPC-Authentifizierung. Ziel ist es, auf privilegierte Konten zuzugreifen.<\/p>\n<p>Wordfence schreibt, dass der Brute-Force-Schutz von Wordfence und \u00fcber die Echtzeit-IP-Blacklist allein in den letzten drei\u00dfig Tagen mehr als f\u00fcnf Millionen b\u00f6sartige Authentifizierungsversuche im Zusammenhang mit dieser Angriffskampagne blockiert wurden.<\/p>\n<p>Die Angreifer verwenden eine Gruppe von vier Command and Control (C2)-Servern, um Anfragen an \u00fcber 14.000 Proxy-Server zu senden, die von einem russischen Proxy-Anbieter namens best-proxies[.]ru bereitgestellt werden. Die Hacker verwenden diese Proxies, um den C2-Verkehr zu anonymisieren. Die Anfragen gehen \u00fcber die Proxy-Server und werden an \u00fcber 20.000 infizierte WordPress-Seiten gesendet. Diese Seiten f\u00fchren ein Angriffsskript aus, das gezielte WordPress-Seiten angreift. Das folgende Diagramm veranschaulicht die Angriffskette.<\/p>\n<p><img decoding=\"async\" title=\"Kontrollstruktur des Botnet\" alt=\"Kontrollstruktur des Botnet\" src=\"https:\/\/i.imgur.com\/TsZroNG.jpg\"\/><br \/>(Quelle: Wordfence) <\/p>\n<p>Die Skripte zielen auf die XML-RPC-Schnittstelle von WordPress-Sites ab, um Benutzername\/Passwortpaare zu testen und die Benutzer-Agent Zeichenkette jeder Anfrage zuf\u00e4llig zu manipulieren. Die f\u00fcr diese Brut-Force-Angriffe verwendeten Wortlisten enthalten kleine S\u00e4tze von sehr gebr\u00e4uchlichen Passw\u00f6rtern. Das Skript enth\u00e4lt jedoch Funktionen zur dynamischen Generierung geeigneter Passw\u00f6rter auf der Grundlage g\u00e4ngiger Muster. Einige Beispiele f\u00fcr diese Muster sind: <\/p>\n<ul>\n<li>%domainPattern%  <\/li>\n<li>%userName%  <\/li>\n<li>%userName%1  <\/li>\n<li>%userName%123  <\/li>\n<li>%userName%2018  <\/li>\n<li>%userName%2017  <\/li>\n<li>%userName%2016<\/li>\n<\/ul>\n<p>Problem ist, dass ein Angreifer \u00fcber die XML-RPC-Schnittstelle von WordPress fr\u00fcher eine gro\u00dfe Anzahl von Benutzer\/Passwort-Paaren in einer einzigen Anfrage senden kann. WordPress w\u00fcrde jedes Paar testen und eine Liste von Erfolgen und Misserfolgen zur\u00fcckgeben. Dieses Verhalten erleichterte Brute-Force-Angriffe. Allerdings gab es mit WordPress 4.4 einen Patch, der diese Ansatz entsch\u00e4rft. Schl\u00e4gt ein XML-RPC-Request bei einer Seite fehl, werden auch alle anderen Werte der gleichen Anfrage verworfen.<\/p>\n<p>Laut Wordfence werden einige der Control-Server, die f\u00fcr die Steuerung des Botnetzes verwendet werden, vom Anbieter HostSailor in Rum\u00e4nien und in den Niederlanden betrieben. Details sind in <a href=\"https:\/\/www.wordfence.com\/blog\/2018\/12\/wordpress-botnet-attacking-wordpress\/\" target=\"_blank\">im Wordfence-Beitrag<\/a> nachlesbar. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das Sicherheitsteam von Wordfence hat ein Botnetz aus \u00fcber 20.000 infizierten WordPress-Sites aufgedeckt. Dieses wird verwendet, um weitere WordPress-Installationen anzugreifen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[2272,4328,4349],"class_list":["post-212697","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-botnet","tag-sicherheit","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/212697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=212697"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/212697\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=212697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=212697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=212697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}