防止WordPress利用xmlrpc.php進行暴力破解以及DDoS

早在2012 年 12 月 17 日一些採用 PHP 的知名博客程序 WordPress被曝光存在嚴重的漏洞，該漏洞覆蓋WordPress 所有已發佈的版本（包括WordPress 3.8.1）。該漏洞的 WordPress 掃描工具也在不少論壇和網站發佈出來。工具能夠利用 WordPress 漏洞來進行掃描，也能夠發起DDoS 攻擊。通過測試，漏洞影響存在 xmlrpc.php 文件的所有版本。

最近我也遇到了大規模的wordpress後臺（wp-login.php）爆破，wordpress差點淪爲了駭客手中的殭屍機。不過確實一種另類的wordpress暴力破解攻擊。駭客利用xmlrpc.php文件來繞過wordpress後臺的登陸錯誤限制進行爆破。

攻擊方式

這種利用xmlrpc.php的攻擊能夠繞過這些限制。攻擊的方式直接POST如下數據到xmlrpc.php:

1. <?xml version="1.0" encoding="iso-8859-1"?>
2. <methodCall>
3. <methodName>wp.getUsersBlogs</methodName>
4. <params>
5. <param><value>username</value></param>
6. <param><value>password</value></param>
7. </params>
8. </methodCall>

其中username字段是預先收集的用戶名。password是嘗試的密碼。關於getUsersBlogs接口的更多信息能夠參考官方的指南。若是密碼正確，返回爲：

密碼錯誤返回爲403：

解決方法：

• 安裝Login Security Solution插件點擊下載
• 或者刪除xmlrpc.php文件。
• 設置其權限爲不可訪問。

附DDoS 漏洞的利用原理

Pingback 是三種類型的反向連接中的一種，當有人連接或者盜用做者文章時來通知做者的一種方法。可讓做者瞭解和跟蹤文章被連接或被轉載的狀況。一些全球最受歡迎的 blog 系統好比 Movable Type、Serendipity、WordPress 和 Telligent Community 等等，都支持 Pingback 功能，使得能夠當本身的文章被轉載發佈的時候可以獲得通知。 WordPress 中有一個能夠經過 xmlrpc.php 文件接入的 XMLRPC API，可使用 pingback.ping 的方法加以利用。 其餘 BLOG 網站向 WordPress 網站發出 pingback，當WordPress處理 pingback 時，會嘗試解析源 URL。若是解析成功，將會向該源 URL 發送一個請求，並檢查響應包中是否有本 WordPress 文章的連接。若是找到了這樣一個連接，將在這個博客上發一個評論，告訴你們原始文章在本身的博客上。 黑客向使用WordPress論壇的網站發送數據包，帶有被攻擊目標的 URL（源 URL）。WordPress 論壇網站收到數據包後，經過 xmlrpc.php 文件調用 XMLRPC API,向被攻擊目標 URL 發起驗證請求。若是發出大量的請求，就會對目標 URL 造成 HTTP Flood。固然，單純向 WordPress 論壇網站發出大量的請求，也會致使 WordPress 網站自身被攻癱。 除了 DDoS 以外，黑客能夠經過源 URL 主機存在與否將返回不一樣的錯誤信息這個線索，若是這些主機在內網中確實存在，攻擊者能夠進行內網主機掃描。

至於利用xmlrpc.php文件進行DDOS請參考文章：http://www.breaksec.com/?p=6362

 

轉載請註明：欲思博客 » 防止WordPress利用xmlrpc.php進行暴力破解以及DDoS