近十万台路由器组成僵尸网络，专门向WordPress网站发起撞库攻击

攻击者们正在劫持网络上存在安全缺陷的家庭路由器，命令这些设备向使用WordPress系统网站的后台入口发起爆破攻击。黑客希望爆破攻击能够猜出后台的管理员账号密码，从而控制受攻击网站。

路由器在这场攻防游戏中扮演着重要角色。它使得攻击者拥有海量的IP地址去进行攻击，绕过网站防火墙和黑名单等防御机制。

7547端口劫持

发现这起事件的是WordPress安全防护公司Wordfence。他们透露，攻击者们利用路由管理协议TR-069的安全漏洞，向使用该协议路由器的7547端口发送恶意流量，直接控制了设备（CVE-2014-9222、TR-069 Bug）。

TR-069协议常见于运营商送的路由器。过去四年里，这个协议至少爆光过两个严重安全漏洞。

Wordfence安全专家说，控制路由后，攻击者会指示每个路由发送几次密码尝试，以防止网站发现。

目前尚不清楚僵尸网络的规模，可能不止一个僵尸网络。WordFence称，2017年3月针对WordPress网站的爆破攻击，有6.7%是由联网的家庭路由器透过7547端口发起，

28个宽带运营商被“参与”

这家安全公司在全球范围追踪，发现有28个宽带运营商存在问题，其中14个存在大量7547端口对外开放的路由器。根据Wordfence统计，共计有将近10万台路由器受影响。

相关的攻击最终定位到问题路由器：ZyXEL ZyWALL 2。这款路由器过往曾曝光过TR-069协议漏洞。

去年年底，一名黑客在英德两国的运营商网络中劫持了超过一百万台路由器，意图添加到他的Mirai僵尸网络来提供DDoS租用服务，当时有许多就是ZyXEL。英国警方今年2月还逮捕了一个相关人士。

ISP可以阻断攻击

长期以来，安全专家一致建议用户不要开放路由器7547端口，考虑到绝大多数家庭用户都没有经过技术培训，这类建议在99.99%的时候是无效的。而且大部分路由也不支持这样做。

WordFence提出了可行建议，他们认为ISP们应该过滤掉互联网上关于7547端口的流量。

公司CEO Mark Maunder表示，运营商可以设置白名单，仅允许自家自动配置服务到用户设备的流量通过。

路由器是家庭网络的弱点

这不是家庭路由第一次被人用来干坏事。去年，一个团伙使用藏在广告里的恶意JavaScript代码劫持了166种不同型号的家庭路由，并进而将使用路由的用户重定向到恶意网站去，或者更换网站的广告内容。

上周，ESET发现一个通过BT种子感染电脑的僵尸网络Sathurbot，它也是专门用于向WordPress网站发起爆破攻击的。