162 000 сайтов на Wordpress стали жертвами атаки

162 000 сайтов на Wordpress стали жертвами атаки

Пользователи популярной системы управления контентом Wordpress получили проблему, связанную с багом в продукте. При помощи бага потенциальные атакующие могут организовывать крупномасштабные DDoS-атаки. По данным секьюрити-компании Sucuri, в интернете уже около 162 000 сайтов были вовлечены в атаки из-за указанного бага. Как рассказали в компании, баг позволяет вынудить CMS начать отправлять сотни пакетов в секунду по заданному адресу, что приводит к блокированию доступа к ресурсу.



Атака опирается на проблему в XML-RPC (XML remote procedure call) в Wordpress. XML-RPC используется для служебного, сервисного или мобильного доступа к платформе. В Sucuri говорят, что сама по себе архитектура XML-RPC содержит ряд фундаментальных проблем и с 2007 года здесь уже не единожды обрнаруживались проблемы подобного рода. Дэниель Сид, технический директор Sucuri, говорит, что по умолчанию XML-RPC используется в современных версиях Wordpress и этот же инструмент позволяет организовать DDoS-атаку, сообщает cybersecurity.ru.

Сид говорит, что большая часть Wordpress-сайтов использует систему кеширования в работе - то есть сервер не генерирует каждый раз с нуля веб-страницы для каждого клиента, а предлагает им кеш. Таким образом, XML-RPC вызывается не всегда, а лишь периодически, что несколько снижает градус опасности, но не ликвидирует его как таковой.

Ошибка в надбавке: мошенники разводят пенсионеров под видом Соцфонда

Мошенники придумали новую легенду для атак на пенсионеров. Теперь они звонят россиянам под видом сотрудников Социального фонда или банка и рассказывают о якобы технической ошибке при начислении июльских надбавок к пенсии.

Об этом РИА Новости сообщили в пресс-службе платформы «Мошеловка» Народного фронта.

Сценарий знакомый: человеку сообщают, что с выплатами возникла проблема, ссылаются на новые указы и требуют срочно всё подтвердить. Дальше аферисты просят назвать персональные данные, реквизиты банковской карты или коды из СМС.

Главная ставка здесь идёт на тревогу и спешку. Пенсионера пытаются убедить, что если он прямо сейчас не продиктует нужную информацию, деньги не начислят, надбавка пропадёт или выплату заблокируют. В общем, мошенники снова достают старый приём: сначала напугать, потом быстро вытащить данные.

В «Мошеловке» напоминают: настоящие сотрудники Социального фонда и банков не звонят гражданам с просьбой продиктовать коды из СМС, реквизиты карт или персональные данные для начисления выплат.

Если в разговоре появляется срочность, давление и просьба назвать код — это не забота о пенсии, а попытка залезть в кошелёк.

Эксперты советуют не принимать решения на эмоциях. Если звонок кажется подозрительным, лучше сразу прервать разговор и самостоятельно связаться с Социальным фондом или банком по официальным каналам. Потому что настоящая надбавка к пенсии не требует диктовать мошенникам ключи от своих денег.

RSS: Новости на портале Anti-Malware.ru