WordPress weby využívané k DDoS útokům

Během víkendu byl zaznamenán jedinečný DDoS útok proti velkým herním stránkám. Klíčovou roli zde hrál WordPress

Obvykle jsou DDoS útoky prováděny z hostitelských botnetů, ale tentokrát byli všichni překvapeni, že útok přicházel z přibližně 2500 stránek WordPress včetně některých velmi velkých webů, jejichž seznam si můžete prohlédnout zde.

Zrádný pingback

Tyto stránky nebyly ohroženy. Místo toho útočníci využili existující zranitelnosti WordPressu a zneužili stránky, aby je vehnaly do botnetu. WordPress má vestavěnou funkci nazvanou Pingback, která umožňuje komukoliv iniciovat žádost z WordPressu na libovolnou stránku. Funkce by měla být použita pro generování křížových odkazů mezi blogy, ale může být snadno použita k milionu žádostí z více míst.

Ukazuje se, že většina WordPress stránek je náchylných k tomuto zneužití. Protože funkce pingback je ve výchozím nastavení povolena a není tam proti tomu žádný ochranný mechanismus.

To dává každému útočníku prakticky neomezenou sadu IP adres k DDoS útoku napříč sítí pomocí 100 milionů WordPress sítí bez jejich poškození.

Některé stránky největších médií a zpravodajských serverů dnes běží na WordPressu a každé z těchto míst se může stát palebnou sílou DDoS útoku. Některé ze známějších webů, které byly k útoku využity, byly Venturebeat.com, TechCrunch.com, TheNextWeb.com a dokonce i sám WordPress.org.

Jak snadné je zneužít právě vaše WordPress stránky?

K využití této zranitelnosti není třeba žádné složité kódování. Stačí použít unixový příkazový řádek, je to jednoduché:

curl http://www.example.com/xmlrpc.php -d
    '<?xml version="1.0" encoding="iso-8859-1"?><methodCall><methodName>
    pingback.ping</methodName><params><param><value>
    <string>http://attacked.site.com/link_to_post
    </string></value></param><param><value><string>
    http://www.example.com/any_blog_post/
    </string></value></param></params></methodCall>'

To by způsobilo, že example.com odešle http požadavek k cíli. Spustí jich zároveň několik tisíc a máte ekvivalent botnetu. Většina webových stránek nemůže vydržet i několik stovek žádostí za sekundu – zejména pokud se jedná o požadavky, které zabírají hodně prostředků.

Když necháte otevřené dveře, také toho někdo využije. Tak to funguje i ve světě internetu. Pokud chyby budou, někdo jich bude využívat.

Zdroj: incapsula.com

 

 

Komentáře

Nahoru