Bug tận dụng lỗ hổng ở File xmlrpc.php để tấn công DDOS
– Những ngày gần đây, việc tận dụng lỗ hổng file xmlrpc.php ở site WordPress để thực hiện hành vi DDoS khá phổ biến. Trên internet đã nói rất nhiều và kỹ về vấn đề này, vì thế tôi không cần phải nói nhiều hơn, các bạn cứ Search Google theo cú pháp: WordPress PingBack DDOS hoặc CVE-2013-0235 là thấy ngay.
Tham gia kênh Telegram của AnonyViet 👉 Link 👈 |
– Quy trình DDoS thực hiện như hình sau:
– Vậy làm thế nào mà attacker có thể dễ dàng làm điều này ??
Bằng một đoạn command ngắn gọn, không cần phải mã hoá, attacker có thể dễ dàng gôm đủ các site WordPress, sử dụng vòng lập để tấn công một ai đó:
curl http://www.example.com/xmlrpc.php -d
'<?xml version="1.0" encoding="iso-8859-1"?><methodCall><methodName>
pingback.ping</methodName><params><param><value>
<string>http://attacked.site.com/link_to_post
</string></value></param><param><value><string>
http://www.example.com/any_blog_post/
</string></value></param></params></methodCall>'
– Làm thế nào để bảo vệ site WordPress của chúng ta để khỏi bị Attacker lợi dụng ??
Thảy ngay file .htaccess ngay DocumentRoot host của ta (đa số là thư mục public_html) với nội dung như sau:
**** trả về lỗi 403 khi truy cập file.
# protect xmlrpc
<IfModule mod_alias.c>
RedirectMatch 403 /xmlrpc.php
</IfModule>
**** Redirect đến trang khác
# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php http://example.com/custom-page.php
</IfModule>
**** Cấm luôn
# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
**** Chỉ cho một vài IP truy cập
# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from yourIP
</Files>