防止WordPress利用xmlrpc.php進行暴力破解以及DDoS

標籤：

早在2012 年 12 月 17 日一些採用 PHP 的知名部落格程式 WordPress被曝光存在嚴重的漏洞，該漏洞覆蓋WordPress 全部發行的版本（包括WordPress 3.8.1）。該漏洞的 WordPress 掃描工具也在很多論壇和網站發布出來。工具可以利用 WordPress 漏洞來進行掃描，也可以發起DDoS 攻擊。經過測試，漏洞影響存在 xmlrpc.php 檔案的全部版本。

最近我也遇到了大規模的wordpress後台（wp-login.php）爆破，wordpress差點淪為了駭客手中的殭屍機。不過確實一種另類的wordpress暴力破解攻擊。駭客利用xmlrpc.php檔案來繞過wordpress背景登入錯誤限制進行爆破。

攻擊方式

這種利用xmlrpc.php的攻擊可以繞過這些限制。攻擊的方式直接POST以下資料到xmlrpc.php:

1. <?xml version="1.0" encoding="iso-8859-1"?>
2. <methodCall>
3. <methodName>wp.getUsersBlogs</methodName>
4. <params>
5. <param><value>username</value></param>
6. <param><value>password</value></param>
7. </params>
8. </methodCall>

其中username欄位是預先收集的使用者名稱。password是嘗試的密碼。關於getUsersBlogs介面的更多資訊可以參考官方的指南。如果密碼正確，返回為：

密碼錯誤返回為403：

解決方案：

• 安裝Login Security Solution外掛程式點擊下載
• 或者刪除xmlrpc.php檔案。
• 設定其許可權為不可訪問。

附DDoS 漏洞的利用原理

Pingback 是三種類型的反向連結中的一種，當有人連結或者盜用作者文章時來通知作者的一種方法。可以讓作者瞭解和跟蹤文章被連結或被轉載的情況。一些全球最受歡迎的 blog 系統比如 Movable Type、Serendipity、WordPress 和 Telligent Community 等等，都支援 Pingback 功能，使得可以當自己的文章被轉載發布的時候能夠得到通知。 WordPress 中有一個可以通過 xmlrpc.php 檔案接入的 XMLRPC API，可以使用 pingback.ping 的方法加以利用。 其他 BLOG 網站向 WordPress 網站發出 pingback，當WordPress處理 pingback 時，會嘗試解析源 URL。如果解析成功，將會向該源 URL 發送一個請求，並檢查響應包中是否有本 WordPress 文章的連結。如果找到了這樣一個連結，將在這個部落格上發一個評論，告訴大家原始文章在自己的部落格上。 駭客向使用WordPress論壇的網站發送資料包，帶有被攻擊目標的 URL（源 URL）。WordPress 論壇網站收到資料包後，通過 xmlrpc.php 檔案調用 XMLRPC API,向被攻擊目標 URL 發起驗證請求。如果發出大量的請求，就會對目標 URL 形成 HTTP Flood。當然，單純向 WordPress 論壇網站發出大量的請求，也會導致 WordPress 網站自身被攻癱。 除了 DDoS 之外，駭客可以通過源 URL 主機存在與否將返回不同的錯誤資訊這個線索，如果這些主機在內網中確實存在，攻擊者可以進行內網主機掃描。

至於利用xmlrpc.php檔案進行DDOS請參考文章：http://www.breaksec.com/?p=6362

 

轉載請註明：欲思部落格 » 防止WordPress利用xmlrpc.php進行暴力破解以及DDoS

防止WordPress利用xmlrpc.php進行暴力破解以及DDoS