Любой WordPress сайт с включенным Pingback (включен по умолчанию), может использоваться в DDOS-атаке на другие сайты
XMLRPC полезная функция - используется для pingbacks, trackbacks, удаленного доступа с мобильных устройств и для многого другого. Но её можно использовать и для организации ддос атак.
Вот как выглядят запросы на ваш сервер при использовании такого способа ддос-атаки:
Обращаю внимание, что у всех запросов есть случайный параметр ("?437049=64182" и др.), благодаря которому запросы обходят кэш и требуют каждый раз полной перезагрузки страницы. А в качестве юзер агент фигурирует название движка и случайный сайт.
Отбиться от такой атаки несложно простой записью в htaccess:
По идее легитимных запросов к вашему сайту с таким юзер агентом быть не должно.
Между тем ддосер может использовать тысячи популярных не взломанных WordPress сайтов для DDOS атаки, и в то же время оставаться в тени, и всё это возможно благодаря простому Pingback запросу к файлу XML-RPC.
Чтобы предотвратить использование вашего сайта в атаках, вам нужно отключить функционал XML-RPC Pingback. Лучший способ сделать это без потери функционала – это подключение плагина со следующим содержанием:
Онлайн-сервис для проверки сайта WordPress на уязвимость: WordPress DDOS Scanner
XMLRPC полезная функция - используется для pingbacks, trackbacks, удаленного доступа с мобильных устройств и для многого другого. Но её можно использовать и для организации ддос атак.
Вот как выглядят запросы на ваш сервер при использовании такого способа ддос-атаки:
Код:
74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?437049=64182 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtreview.com"
121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.hunvmo.com"Отбиться от такой атаки несложно простой записью в htaccess:
Код:
RewriteCond %{HTTP_USER_AGENT} (WordPress)
RewriteRule ^(.*)$ – [F,L]Между тем ддосер может использовать тысячи популярных не взломанных WordPress сайтов для DDOS атаки, и в то же время оставаться в тени, и всё это возможно благодаря простому Pingback запросу к файлу XML-RPC.
Код:
$ curl -D - "www.anywordpresssite.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>'
Код:
add_filter( 'xmlrpc_methods', function( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
} );