El ataque consiste básicamente en usar fuerza bruta para adivinar la contraseña de administrador de cada instalación. Una vez conseguida, el malware se instala en el blog creando un nuevo usuario. Desde ahí empezará a atacar a otros blogs Wordpress por fuerza bruta para infectarlos.
El malware usa una lista de unas 1.000 combinaciones de usuario y contraseña, las más comunes. Son pocas comparadas con todo el espacio de combinaciones posibles, pero al ser las más comunes es perfectamente posible que infecten suficientes blogs como para que la botnet tenga un tamaño importante (un mínimo de 90.000 IPs según algunos informes).
De momento, los blogs infectados no están haciendo nada más allá de buscar otros blogs, así que no están causando demasiados problemas adicionales a los usuarios. Quienes sí lo están pasando peor son los proveedores de hosting, que en algunos casos están viendo cómo su tráfico saliente se dispara. Muchos han tomado medidas de seguridad adicionales, como bloquear el acceso a todos los paneles de administración de Wordpress salvo a ciertas IPs específicas, de forma que el usuario tiene que comunicar al hosting su IP para poder acceder al blog.
Si creéis que podéis haber sido infectados, lo más recomendable es borrar cualquier usuario desconocido y revisar la instalación para buscar archivos maliciosos. En última instancia, siempre podéis borrar todos los archivos y hacer una instalación limpia para evitaros problemas (los posts, etiquetas y demás se guardan en la base de datos, así que no los perderéis).
Para el resto, recordad los consejos a la hora de crear contraseñas seguras o configurar la autenticación en dos pasos. También podéis usar plugins como Login Security Solution para bloquear ataques de fuerza bruta en vuestros servidores. Y, por supuesto, seguir los consejos de seguridad de Wordpress. Se puede ver una presentación sobre la seguridad de Wordpress de Tony Perez.
No hay comentarios:
Publicar un comentario