早在 2012 年 12 月 17 日,使用 PHP 的著名博客程序 WordPress 就暴露出一个严重的漏洞,该漏洞覆盖了 WordPress 的所有发布版本(包括 WordPress 3.8.1)。针对此漏洞的 WordPress 扫描工具也已在许多论坛和网站上发布。工具可以使用 WordPress 漏洞扫描或发起 DDoS 攻击。测试后,该漏洞会影响现有 xmlrpc.php 文件的所有版本。
最近,我还遇到了 WordPress 后台(WP 登录)的大规模爆炸。它几乎把 WordPress 变成了黑客手中的僵尸机器。然而,这是另一种 WordPress 暴力攻击。黑客使用 xmlrpc.php 文件绕过 WordPress 后台的登录错误限制。
攻击模式
使用 xmlrpc.php 的这种攻击可以绕过这些限制。攻击方法是直接将以下数据发布到 xmlrpc.php:
- <?
xmlversion=“1.0”encoding=“iso-8859-1”?> wp.getUsersBlogsusernamepassword
其中 username 字段是预先收集的用户名。password 是尝试的密码。关于 getUsersBlogs 接口的更多信息可以参考官方的指南。如果密码正确,返回为:
密码错误返回为 403:
解决方法:
- 安装
LoginSecuritySolution插件点击下载 - 或者删除
xmlrpc.php文件。 - 设置其权限为不可访问。
利用 DDoS 漏洞利用原则
Pingback 是三种类型的反向链接之一。当有人链接或盗用作者的文章时,它是通知作者的一种方式。让作者知道文章是如何被跟踪或链接的。世界上一些最流行的博客系统,如 MovableType、serendipity、WordPress 和 telligentcommunity,都支持 Pingback 功能,因此当您的文章被转载和发布时,您可以得到通知。WordPress 有一个 XMLRPC API,可以通过 XMLRPC.php 文件进行访问,pingback.ping 可以使用该文件。其他博客网站向 WordPress 网站发送 pingback。当 WordPress 处理 pingback 时,它将尝试解析源 URL。如果解析成功,将向源 URL 发送请求,并检查响应包中是否有指向此 WordPress 文章的链接。如果你找到这样的链接,你会在这个博客上发表评论,告诉你原来的文章在你自己的博客上。黑客使用 WordPress 论坛向网站发送带有被攻击目标 URL(源 URL)的数据包。收到数据包后,WordPress 论坛网站通过 XMLRPC.php 文件调用 xmlrpcapi,向目标 URL 发送身份验证请求。如果发出大量请求,将为目标 URL 形成 HTTP 洪水。当然,仅仅向 WordPress 论坛网站发送大量请求也会导致 WordPress 网站本身瘫痪。除了 DDoS,黑客还可以通过源 URL 返回不同的错误信息。如果这些主机确实存在于 intranet 中,则攻击者可以扫描 intranet 主机。
至于利用 xmlrpc.php 文件进行 DDOS 请参考文章:http://www.breaksec.com/?p=6362
转载请注明:汇站网 » 防止 WordPress 使用 xmlrpc.php 进行暴力解密和 DDoS
