SEC-1275-1 опубликовало ключевые IP для блокировки ботнета, атакующего WordPress

Как ранее сообщалось в нашем расследовании, ядро атаки ботнета направлено на подбор паролей с использованием XML-RPC (xmlrpc.php) и страницы авторизации WordPress (wp-login.php). Тревожной особенностью сети является использование скомпрометированных аккаунтов на легитимных хостинг-провайдерах и VPS-серверах (свыше 80% трафика), что усложняет обнаружение и блокировку.

В развитие предыдущей публикации, SEC-1275-1 обнародовало расширенный перечень ключевых IP-адресов (Indicators of Compromise - IOC), активно используемых данной ботнет-сетью в последнее время. Эти данные, включающие свежие диапазоны и отдельные адреса (преимущественно связанные со взломанными легитимными хостами), предназначены для немедленного применения системными администраторами.

Важно помнить: Злоумышленники постоянно обновляют инфраструктуру ботнета, поэтому опубликованный список требует периодического обновления. Тем не менее, эти ключевые IP являются мощным инструментом для текущего сдерживания атак и снижения нагрузки на серверы прямо сейчас.

IPv4

IPv6

• 2001:1810:4181:120:0:4:42af:2c22
• 2001:1810:4181:120:0:4:42af:2c23
• 2001:19f0:6801:1636:5400:3ff:fef6:e701
• 2001:41d0:2:3ea5::
• 2001:41d0:305:2100::8121
• 2001:41d0:306:2b92::
• 2001:470:36:3a2:7132:39e5:b8b7:b2de
• 2400:6180:0:d0::376:1001
• 2400:8500:1301:738:133:130:103:36
• 2402:1f00:8005:4000::
• 2406:30c0:0:66:be24:11ff:fe2e:3b02
• 2406:5900:3:6742:43a5:b758:ad56:b35d
• 2406:5900:3:6742:8d23:bbe4:134b:f370
• 2406:da1a:4f4:8200:cdac:ba0a:7a64:144
• 2a01:4f8:10a:4595::2
• 2a01:4f8:1c17:d20c::1
• 2a01:4f8:c013:87cd::1
• 2a01:4f9:4b:1d85::2
• 2a01:4f9:c010:a185::1
• 2a01:4ff:1f0:a53::1
• 2a01:4ff:f0:bd26::1
• 2a04:e8c0:12::1d
• 2a05:d01c:8a3:ed00:c4ad:962d:5aa0:af9e
• 2a0e:6a80:3:439::
• 2a12:d282:101:e51::