{"id":28250,"date":"2018-12-11T11:02:03","date_gmt":"2018-12-11T09:02:03","guid":{"rendered":"https:\/\/www.hostinet.com\/formacion\/?p=28250"},"modified":"2018-12-11T11:02:40","modified_gmt":"2018-12-11T09:02:40","slug":"detectan-una-red-de-20-000-wordpress-infectados-atacando-a-otros-sitios-wordpress","status":"publish","type":"post","link":"https:\/\/www.hostinet.com\/formacion\/wordpress\/detectan-una-red-de-20-000-wordpress-infectados-atacando-a-otros-sitios-wordpress\/","title":{"rendered":"Detectan una Red de 20.000 WordPress Infectados Atacando a otros Sitios WordPress"},"content":{"rendered":"
<\/div>

\n\t\"Detectan\n<\/p>\n

\n\tComo ya sabemos, WordPress<\/strong> es el gestor de contenidos más usado en el mundo y existen millones de instalaciones de WordPress por todo Internet… y no todas ellas están actualizadas ni protegidas.\n<\/p>\n

\n\tCon es de esperar, estas instalaciones de WordPress son un objetivo para muchos atacantes que quieren hacerse con el control del mayor número de instalaciones de WordPress para cometer sus actos malware<\/em>desde ahí, como por ejemplo enviar Spam o minar criptomonedas<\/a>.\n<\/p>\n

\n\tRecientemente se ha detectado una Botnet<\/a><\/strong> de más de 20.000 sitios WordPress infectados<\/strong> con un malware, destinados a realizar ataques de fuerza bruta a otros sitios WordPress<\/strong>.\n<\/p>\n

\n\tSin duda se trata de un ataque a gran escala<\/strong>, con una gran infraestructura<\/strong>, que ha sido preparado con tiempo para obtener el mayor grado de efectividad posible.
\n\t \n<\/p>\n

\n\tCómo Funciona el Ataque Botnet WordPress
\n<\/h2>\n

\n\t\"C\u00f3mo\n<\/p>\n

\n\tAntes de describir la configuración de ataque, es importante darse cuenta de que, para que se haya podido producir, 20.000 instalaciones de WordPress han sido infectadas previamente<\/strong>.\n<\/p>\n

\n\tEste punto es muy importante, ya que infectar 20 mil sitios no es algo fácil.\n<\/p>\n

\n\tPara infectar tantas instalaciones de WordPress hay que recurrir a ciertas estrategias, como ofrecer descargar plugins o themes<\/em> “gratuitos” desde sitios poco fiables, cuando sabemos que realmente no son gratuitos o dedicarse a busca instalaciones de WordPress no actualizadas<\/strong> que son mucho más fáciles de atacar.\n<\/p>\n

\n\tLo que es importante entender es que, si bajamos un plugin pirata y lo instalamos en nuestro WordPress, es posible que funcione bien y que no tengamos ningún problema aparente al principio, pero siempre estaremos en riesgo<\/strong> ya que pueden haber insertado una puerta trasera<\/em> para hacerse con el control de nuestro WordPress cuando les interese, como parece ser el caso de este ataque organizado.\n<\/p>\n

\n

\n\t\tNo instales plugins o themes piratas en WordPress, seguramente incluyan algún código malicioso o “puerta trasera”.\n\t<\/p>\n<\/blockquote>\n

\n\tLa estructura del ataque en si misma no es complicada, aunque si su desarrollo.\n<\/p>\n

\n\tLos atacantes controlaban cuatro servidores C2<\/a><\/strong>, desde donde controlaban todo el ataque.\n<\/p>\n

\n\tDesde estos servidores enviaban solicitudes a más de 14.000 servidores proxy<\/strong> para no ser detectados rápidamente por IP.\n<\/p>\n

\n\tDesde los servidores proxy se enviaban las instrucciones a los 20.000 sitios WordPress infectados<\/strong> y desde estos sitios infectados se ejecutaba un script para intentar el ataque por fuerza bruta<\/strong> a otros sitios WordPress.\n<\/p>\n

\n\tLos ataques iban dirigidos a la interface XML-RPC de WordPress<\/a><\/strong>, un clásico en este tipo de ataques en WordPress, ya que permiten enviar un gran número de pares de Usuario y Contraseña<\/em> en una única solicitud, evitando así los bloqueos por intentos erróneos de login.\n<\/p>\n

\n\tEste tipo de ataques llamados multicall<\/em> fueron solucionados por WordPress desde la versión 4.4, lo que nos hace pensar que todavía existen una gran cantidad de instalaciones de WordPress con versiones 4.3 o inferiores<\/strong>.\n<\/p>\n

\n

\n\t\tMantén siempre WordPress, plugins y themes actualizados para evitar vulnerabilidades.\n\t<\/p>\n<\/blockquote>\n

\n\tLos usuarios y contraseñas<\/strong> utilizadas en el ataque eran muy comunes y se basaban en patrones, como por ejemplo:\n<\/p>\n