Expertos de la firma de seguridad Wordfence dicen que han observado un nuevo tipo de ataque web que apuntó a instalaciones de WordPress sin terminar
Estos son los sitios donde un usuario ha subido el CMS WordPress, iniciadas pero nunca terminado el proceso de instalación.Estos sitios mantienen abierto las conexiones externas, y cualquiera podría haber accedido a su panel de instalar y completar la instalación en nombre del usuario.
Mass scan detecta sitios WordPress sin finalizar la instalación
De acuerdo con Wordfence, esto es exactamente lo que sucedió. Durante casi un mes, a partir de finales de mayo y hasta mediados de junio, un atacante tenía masa escaneada Internet para instalaciones de WordPress que incluían todavía su archivo de instalación.Mark Maunder, fundador y CEO Wordfence, dice que su compañía observó un actor amenaza conexión a estos sitios de WordPress sin terminar, entrando en sus propias credenciales de base de datos, y completar el proceso de instalación.
El atacante podría entonces conectarse al sitio usando su cuenta de administrador de nueva creación, y utilizar el editor de temas o archivo plugin para insertar código malicioso y ejecutarlo, tomando de manera efectiva sobre el servidor de la víctima. En otro giro de este ataque, el intruso también se instala un plugin personalizado que ejecuta el mismo código malicioso.
Maunder nombrado en estos ataques como "WPSetup Ataque", aconseja a los usuarios asegurarse de terminar el proceso de instalación de WordPress justo después de subir sus archivos CMS en su servidor, ya que una nueva ola de estas exploraciones podría desencadenar en cualquier momento.
Estadísticas de ataques a sitios de WordPress
En un informe lanzado un día más tarde después de la alerta WPSetup Ataque, Wordfence también dijo que durante el mes de Junio, los ataques a sitios de WordPress han aumentado en comparación con el mes anterior.A continuación se presentan algunos de los puntos principales de informe Junio 2017 WordPress Ataque de Wordfence
- Los ataques totales de la parte superior 25 IPs que atacan disminuyeron ligeramente de 144 millones en mayo a 133 millones en junio.
- Ataques de fuerza bruta componen el 67% de los ataques totales para junio, frente al 72% en mayo. Ataques complejos representaron el 33%.
- Ucrania tenía la mayoría de los PI en el 25 de la lista de arriba con 7, seguido por Estados Unidos con 7.
- El número medio de ataques de fuerza bruta al día, aumentó un 36% respecto al mes pasado.
- Volumen promedio diario de ataque en junio subió 32% a partir de mayo, a 7,2 millones.
- Ataque volumen era un poco más alto en la segunda mitad del mes, alcanzando un máximo de más de 11 millones de ataques en un solo día.
- El tema de WordPress más atacado fue mTheme-Unus
- La gran mayoría de los ataques a todos los temas son los intentos de aprovechar una vulnerabilidad conocida en un archivo PHP que todos compartían que se dio a conocer públicamente hace unos años.
- Casi el 98% de estos ataques a los temas de WordPress se originan en sólo dos direcciones IP: 194.28.115.252 y 194.28.115.228.
- El plugin de WordPress más atacado fue WP detector móvil.
- La mayoría de los ataques a los sitios de WordPress vinieron de direcciones IP rusos, seguido de los EE.UU. y Ucrania.
Desde esta pagina puedes descargarte la herramienta MASSCAN
Fecha actualización el 2021-01-13. Fecha publicación el 2018-01-13. Categoría: Outlook. Autor: Oscar olg Mapa del sitioFuente: bleepingcomputer