[番号大全]【技术控】数千万WordPress和Drupal站点存在DDoS风险

伦理片

来自国内知名黑客安全信息站FreeBuf.COM的消息,近日白帽子Nir goldshlager发现了WordPress和Drupal存在DDoS攻击风险,受影响的版本为WordPress 3.5 – 3.9和Drupal 6.x – 7.x,根据为维基百科的数据,使用WordPress的站点可能超过6千万,更有超过100万的Drupal网站。

福利档前段时间也遭到了无情的黑客攻击,不排除是因为这个漏洞导致的。

本次漏洞问题的源头出在一个文件:xmlrpc.php。这个文件主要应用于WordPress的pingback服务。根据福利档的入了解:

Pingback 是三种类型的反向链接中的一种,当有人链接或者盗用作者文章时来通知作者的一种方法。可以让作者了解和跟踪文章被链接或被转载的情况。一些全球最受欢迎的 blog 系统比如 Movable Type、Serendipity、WordPress 和 Telligent Community 等等,都支持 Pingback 功能,使得可以当自己的文章被转载发布的时候能够得到通知。 WordPress 中有一个可以通过 xmlrpc.php 文件接入的 XMLRPC API,可以使用 pingback.ping 的方法加以利用。 其他 BLOG 网站向 WordPress 网站发出 pingback,当WordPress处理 pingback 时,会尝试解析源 URL。如果解析成功,将会向该源 URL 发送一个请求,并检查响应包中是否有本 WordPress 文章的链接。如果找到了这样一个链接,将在这个博客上发一个评论,告诉大家原始文章在自己的博客上。 黑客向使用WordPress论坛的网站发送数据包,带有被攻击目标的 URL(源 URL)。WordPress 论坛网站收到数据包后,通过 xmlrpc.php 文件调用 XMLRPC API,向被攻击目标 URL 发起验证请求。如果发出大量的请求,就会对目标 URL 形成 HTTP Flood。当然,单纯向 WordPress 论坛网站发出大量的请求,也会导致 WordPress 网站自身被攻瘫。 除了 DDoS 之外,黑客可以通过源 URL 主机存在与否将返回不同的错误信息这个线索,如果这些主机在内网中确实存在,攻击者可以进行内网主机扫描。

漏洞影响范围:

WordPress 3.5 – 3.9 默认配置

Drupal 6.x – 7.x 默认配置

漏洞造成的影响:站点无法正常运行,CPU满负荷。

后果示例1:Service Unavailable (too many open connections, mysql_connect(): Too many connections)

Service Unavailable

Service Unavailable

后果示例2:100% CPU, RAM Usage

Service Unavailable

处理办法:

1、升级WordPress和Drupal

2、或者直接删除xmlrpc.php

3、禁止对xmlrpc.php文件的访问

福利档查找了不少资料,针对wordpress,有以下三种办法应该可以解决问题:

第一种方法是屏蔽 XML-RPC (pingback) 的功能,将下列代码复制到wordpress主题目录下的functions.php文件中。

add_filter(‘xmlrpc_enabled’, ‘__return_false’);

第二种方法是通过.htaccess屏蔽xmlrpc.php文件的访问。

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

第三种方法同样是修改.htaccess文件,如果有用户访问xmlrpc.php文件,让其跳转到不存在或存在的其他页面,降低自身网站的负担。

# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php http://example.com/custom-page.php
</IfModule>

另外,附上一些相关资料

测试视频:http://player.vimeo.com/video/102709635

PoC仅供把自己搞死机,请勿用于非法用途:https://docs.google.com/file/d/0B2-5ltUODX1Lc3pGV0FjbUk4bjA/edit?usp=sharing

更多关于此漏洞的详细说明请见:

breaksec

THN:millions-of-wordpress-and-drupal

番号使用方法【含工具】

番号福利资源请大家合理合规法翻阅,勿乱传播:番号搜索器_番号社电影你懂的 » 【技术控】数千万WordPress和Drupal站点存在DDoS风险

赞 (0)
【技术控】数千万WordPress和Drupal站点存在DDoS风险分享到: 更多