Blog

WordPress XMLRPC, più di 162.000 siti WordPress utilizzati per attacco DDOS

13th Mar 2014 | Posted in: Blog, Security, Wordpress  | visualizzazioni 18

ddosGli attacchi DDOS stanno diventando una tendenza comune ultimamente, ed è una questione molto seria per ogni proprietario del sito. Oggi vi voglio parlare di un grande attacco DDOS che ha sfruttato migliaia di siti web WordPress ignari come vettori di amplificazione.

Qualsiasi sito WordPress con Pingback abilitato (che è attivata per impostazione predefinita) può essere utilizzato in attacchi DDOS contro altri siti.  Notare che XMLRPC viene utilizzato per pingbacks, trackback, l’accesso remoto tramite dispositivi mobili e molte altre caratteristiche è molto probabile che sia abilitato. Ma può anche essere pesantemente abusato come quello che stiamo vedendo.

I fatti

E ‘successo tutto nei confronti di un sito WordPress popolare che era andato giù per molte ore a causa di un DDOS. Poiché l’attacco è aumentato in termini di dimensioni, il loro hoster l’ha spento, e poi hanno deciso di chiedere aiuto a un proxy di tipo Cloudflare.

Una volta che il DNS è stato ripristinato siamo stati in grado di vedere cosa stava succedendo, era un grande attacco flood basato su  HTTP (layer 7) , inviare ovvero centinaia di richieste al secondo al server. La richiesta sembrava questa:

 
74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com"
121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.kschunvmo.com" 
217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-" "WordPress/3.8.1; http://www.intoxzone.fr" 
193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de" 
..

Se notate, tutte le query avevano un valore casuale (come “? 4.137.049 = 643.182”), che aggirato la loro cache e forzare una pagina di ricarica completa ogni volta. Si stava uccidendo il loro server abbastanza rapidamente.

Ma la parte più interessante è che tutte le richieste provenivano da siti WordPress validi e legittimi. Sì, gli altri siti WordPress mandavano che le richieste casuali portando il sito down.

WordPress che ha XMLRPC abilitato = Very Large Botnet

Proprio nel corso di poche ore, oltre 162.000 diverse e legittime siti WordPress cercato di attaccare il suo sito.Avremmo probabilmente abbiamo rilevato molto di più siti, ma abbiamo deciso che avevamo visto abbastanza e bloccato le richieste al firewall di confine, soprattutto per evitare di riempire i registri con spazzatura.

Riuscite a vedere quanto potente può essere? Un attaccante può usare migliaia di siti WordPress popolari e puliti per svolgere il loro attacco DDOS, pur essendo nascosto nell’ombra, e che tutto accade con un semplice ping torna richiesta al file XML-RPC:

$ Curl-D - "www.anywordpresssite.com / xmlrpc.php"-d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>'

Il tuo sito attaccando gli altri?

Potrebbe essere e non avete idea. Per verificare, guardare attraverso i registri di eventuali richieste POST al file XML-RPC, simile a quello qui sotto. Se vedi un pingback a un URL casuale, sai che il tuo sito è attuato in modo abusivo.

93.174.93.72 - [09/Mar/2014: 20:11:34 -0400] "POST / xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "PostRequest: <xml version = \ x221.0 \ x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall>\x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A  <param> \ x0A <valore> \ x0A <string> http://fastbet99.com/?1698491=8940641 </ string> \ x0A </ value> \ x0A </ param> \ x0A <param> \ x0A <valore > \ x0A <string> yoursite.com </ string> \ x0A </ value> \ x0A </ param> \ x0A </ params> \ x0A </ methodCall> \ x0A "
 
 94.102.63.238 - [09/Mar/2014: 23:21:01 -0400] "POST / xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "PostRequest:   \ X0A   \ X0A   pingback.ping   \ X0A   \ X0A   \ X0A   \ X0A   http://www.guttercleanerlondon.co.uk/?7964015=3863899   \ X0A   \ X0A   \ X0A   \ X0A   \ X0A   yoursite.com   \ X0A   \ X0A   \ X0A   \ X0A   \ X0A "

Per interrompere il vostro sito WordPress da uso improprio, è necessario disattivare la funzionalità XML-RPC (pingback) sul tuo sito.

Un modo migliore per bloccarlo è quello di aggiungere al file functions.php del tema attuale, aggiungendo il seguente filtro:

add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
} );

Provatelo e fare la vostra parte per rendere Internet un luogo più sicuro per tutti.

Share and Enjoy:
  • del.icio.us
  • Facebook
  • Mixx
  • Google Bookmarks
  • Digg
  • LinkedIn
  • oknotizie
  • MySpace
  • Technorati
  • Live
  • Slashdot
Post Correlati
18 Comments
  1. electronic cigarettes youth
    20:15 on maggio 30th, 2014

    My developer is trying to persuade me to move to .net from PHP.
    I have always disliked the idea because of the expenses.
    But he’s tryiong none the less. I’ve been using WordPress on several websites for about a year and am
    worried about switching to another platform.
    I have heard fantastic things about blogengine.net.
    Is there a way I can transfer all my wordpress content into it?
    Any help would be greatly appreciated!

  2. canadian tire mark healy
    20:56 on luglio 24th, 2014

    I was recommended this blog by my cousin. I’m not sure whether this post is written by
    him as nobody else know such detailed about my trouble.
    You’re wonderful! Thanks!

  3. best riding mowers 2014
    07:37 on luglio 28th, 2014

    Wow, wonderful blog layout! How long have you been blogging for?
    you made blogging look easy. The overall look of your site is fantastic,
    as well as the content!

  4. refrigeration and air conditioning
    04:45 on settembre 17th, 2014

    Great info. Lucky me I discovered your blog by chance
    (stumbleupon). I have saved it for later!

  5. such a good point
    05:11 on febbraio 10th, 2015

    I chose to click here grow into heaven on earth by healing my ghastly past.
    He said research indicated cases of domestic violence on a daily basis, just like the Yellow Pages.
    How is Attachment Formed? They have been trained under the program, she click
    here said. They are at a seventy five percent greater risk of learning that
    violence gets them what they think about this particular situation.

  6. remote desktop tools
    03:09 on febbraio 24th, 2015

    Everyone loves what you guys are usually up too.
    This type oof clesver work and reporting! Keep up the amazing works guys I’ve included you guys to my blogroll.

  7. "mailing clientes"
    23:45 on maggio 24th, 2015

    Lista online você pode segmentar seu público alvo em instantes.
    Até mais

  8. Maya
    17:46 on giugno 20th, 2015

    About The – Author: Harris – Noah is an expert author on pet products related topics and currently workingfor.
    But make sure that you consider the style your home is built with.
    The most popular types and styles of these include the following:.

  9. Werner
    21:13 on luglio 26th, 2015

    The website will also serve as a portal for all things convention related,
    from a countdown clock to information on logistics, credentials, media walkthroughs and
    housing. If these eight steps seem overwhelming, welcome
    to the club. However, there are certain things which can assist you differentiate which one is best and which is not.

  10. annakomunia.blog.fc2.com
    03:39 on luglio 30th, 2015

    Make money on autopilot is available for all of us.
    The website navigation should cater to both the users and the search
    engine bots. A money making attitude plus a money making opportunity
    almost always result in a money making reality.

  11. proxy server
    18:16 on agosto 21st, 2015

    Hi excellent blog! Does running a blog such as this require a massive amount work?

    I have no expertise in coding but I had been hoping to start my own blog soon. Anyways, if you have any recommendations or techniques for new
    blog owners please share. I understand this is off subject however I just wanted to ask.
    Thanks!

  12. cattylachatte.tumblr.com
    17:50 on dicembre 19th, 2015

    At 800MHz, this memory won’t break any speed records but it won’t break the bank either.

    The keys are all extremely tiny, including the delete and
    return keys, although the left shift key and the space bar
    are of reasonable size. World market, both online and offline, just flooded with
    a lot of international phone cards and calling card companies and plans.

  13. bali web developer
    10:06 on dicembre 31st, 2015

    Spot on with this write-up, I truly think this website needs a great deal more attention. I’ll probably
    be back again to read more, thanks for the advice!

  14. Roseanna
    03:36 on gennaio 10th, 2016

    It’s going to be end of minbe day, except befofe end I am reading this impressive post to increase my experience.

  15. pool fencing brisbane
    13:36 on maggio 28th, 2016

    Very soon this web page will be famous among all blogging and site-building people, due to it’s pleasant
    content

  16. mp3juice
    12:23 on giugno 4th, 2016

    My brother recommended I may like this blog. He was entirely right.
    This put up actually made my day. You can not imagine just how
    so much time I had spent for this info! Thanks!

  17. sopir bali
    02:54 on giugno 17th, 2016

    Do you mind if I quote a couple of your posts as long as I provide credit and sources
    back to your site? My website is in the very same niche as yours
    and my users would definitely benefit from some of the information you present here.
    Please let me know if this alright with you. Appreciate it!

  18. コラーゲンドリンク 口コミ
    20:31 on agosto 13th, 2016

    私が使用している推薦する効果のあったコラーゲンドリンクはコチラです

Lascia un commento