Sites WordPress alavancadas em Camada 7 DDoS Campanhas
- Domingo, 6th Março, 2016
- 15:49pm
Nós divulgados pela primeira vez que o método WordPress pingback estava sendo mal utilizado para executar camada maciça 7 Distributed Denial of Service (DDoS) em março de 2015.
O problema é que qualquer site WordPress com o recurso pingback ativada (a configuração padrão) poderia ser usado para atacar a disponibilidade de outros websites. Os ataques inundaria o servidor web com uma camada 7 solicitações resultantes em grandes ataques DDoS.
Se você não estiver familiarizado com a terminologia, Camada 7 ataques (também conhecidos como ataques http inundação) são um ataque do tipo DDoS que perturba o seu servidor esgotando seus recursos na camada de aplicação, em vez da camada de rede. Eles não necessitam de tantos pedidos ou tanta largura de banda de causar danos; eles são capazes de forçar um grande consumo de memória e CPU na maioria das aplicações PHP, CMSs e bancos de dados.
No passado, muitos de alto perfil sites foram vítimas de tais ataques, recebendo milhares de pedidos por segundo contra suas propriedades.
Pingback DDoS
Estes pingback ataques DDoS mantiveram-se popular e atribuí-los a 13% de todos os ataques DDoS que rastreamos em nossos clientes. Temos notado que o uso desta técnica é a redução, provavelmente atribuído a uma mudança que foi empurrado com WordPress algumas versões atrás:
WordPress / 4.3.3; http://168.63.218.68; verificar pingback de 185.130.5.209
A partir da versão 3.9, WordPress começou a gravar o endereço IP de onde o pedido pingback originou. Isso diminuiu o valor de usar WordPress como parte de um ataque; a plataforma seria agora gravar os atacantes endereço IP original e ele iria mostrar-se no agente de usuário log.
Olhando para um registo de exemplo pouco de um ataque, podemos ver onde o atacante estava vindo:
120.25.253.23 - - [16 / fev / 2016: 23: 45: 57 -0500] "GET / HTTP / 1.0" 403 5301 "-" "WordPress / 4.2.7; http://www.fluxstudio-sh.com; verificar pingback de 185.130.5.247 "
58.137.222.186 - - [16 / fev / 2016: 23: 45: 58 -0500] "GET / HTTP / 1.0" 403 5301 "-" "WordPress / 4.3.1; http://deals.shinee.com; verificar pingback de 185.130.5.247 "
54.179.180.62 - - [16 / fev / 2016: 23: 45: 57 -0500] "GET / HTTP / 1.0" 403 5301 "-" "WordPress / 4.0; http://goodhealthtpa.com; verificar pingback de 185.130.5.209 "
128.199.67.254 - - [16 / fev / 2016: 23: 45: 57 -0500] "GET / HTTP / 1.0" 403 5301 "-" "WordPress / 4.3.3; http://readymixbeton.com; verificar pingback de 185.130.5.247 "
52.24.54.204 - - [16 / fev / 2016: 23: 45: 57 -0500] "GET / HTTP / 1.0" 403 5301 "-" "WordPress / 4.3; http://healthcare.org; verificar pingback de 185.130.5.247 "
112.74.214.142 - - [16 / fev / 2016: 23: 45: 57 -0500] "GET / HTTP / 1.0" 403 5301 "-" "WordPress / 4.4.2; http://112.74.214.142; verificar pingback de 185.130.5.247 "
54.64.67.51 - - [16 / fev / 2016: 23: 45: 58 -0500] "GET / HTTP / 1.0" 403 5301 "-" "WordPress / 3.9.6; http://blog.will-online-account.com; verificar pingback de 185.130.5.247 "
Você pode ver a informação WHOIS do IP abaixo:
pessoa: ANTONIO JORDAN
org: ORG-HSL27-RIPE
endereço: EUA 9420 Meadowmont VIEW DR, CHARLOTTE, NC.28269
Telefone: +37167885767
org-name: soluções de hospedagem 4you Ltd.
org-type: Other
endereço: EUA 9420 Meadowmont VIEW DR, CHARLOTTE, NC.28269
netname: OHS4YOU_DC
descr: VPS pública e servidores dedicados na UE ohs4you.net
país: DM
O atacante foi usando múltiplos endereços IP a partir do intervalo 185.130.5.0/24 para controlar o "botnet" de sites WordPress.
Camada maciça 7 ataques
Apesar do potencial de redução de valor, com o registro de IP, os atacantes ainda estão usando esta técnica.Provavelmente porque os proprietários de sites raramente verifica os logs de agente de usuário para obter o endereço IP real de visitantes. Para os administradores de sistema Eu recomendo se referindo a ele ao executar suas tarefas administrativas e forenses.
Desde o ataque está vindo de milhares de diferentes IP de, firewalls baseados em rede fará pouco para parar os ataques como eles só fazem limitação de taxa por cada endereço IP.
Em um caso recente que investigou, 26.000 sites WordPress diferentes estavam gerando uma taxa sustentada de 10.000 a 11.000 solicitações HTTPS por segundo contra um site. Em alguns intervalos, o ataque atingiria o pico de quase 20.000 solicitações HTTPS por segundo. O ataque começou às 13:00 (EST) e pela meia-noite ainda estava em curso.
Muito poucos servidores seria capaz de lidar com tal carga, mesmo com proxies e balanceadores de carga configurados. Especialmente quando se fala de pedidos de HTTPS, que tendem a usar mais CPU para estabelecer a sessão SSL.
Não seja parte do problema
Embora seja grande que WordPress está registrando o endereço IP atacante em versões mais recentes, ainda recomendamos que você desabilite pingbacks em seu site. Ele não vai protegê-lo de ser atacado, mas vai parar o seu site de atacar outros.
Por exemplo, nós corremos através da lista de endereços IP durante este ataque e a maioria são sites em / / provedores populares VPS Nuvem Servidor Dedicado: Amazon AWS, Oceano Digital, Google nuvem, Microsoft Azure, Hetzner, OVH e linode.
Aqui está o que a distribuição parece entre esses prestadores de serviços:
O melhor curso de ação é desativar pingbacks e, se possível, desativar xmlrpc completamente se você não estiver usando. Se você é, você pode fazer algumas pequenas alterações no seu arquivo .htaccess para permitir que apenas os IPs da lista de permissões para acessar o arquivo. Este pode ser o caso com o plugin JetPack popular.
Aqui é o que olharia como se você fosse para desativá-lo e só permitir boas IPs conhecidos, onde 1.2.3.4 e5.6.7.8 são os bons IPs:
<FilesMatch "xmlrpc \ .php $">
fim negar, permitir
negar a partir de todos
permitir que a partir de 1.2.3.4
permitir que a partir de 5.6.7.8
</ FilesMatch>
Você também pode criar um plugin que adiciona o seguinte filtro:
add_filter ( 'xmlrpc_methods', function () {$ métodos
unset ($ métodos [ 'pingback.ping']);
retornar $ métodos;
});
