防止WordPress利用xmlrpc.php进行暴力破解以及DDoS

早在2012 年 12 月 17 日一些采用 PHP 的知名博客程序 WordPress被曝光存在严重的漏洞，该漏洞覆盖WordPress 所有已发布的版本（包括WordPress 3.8.1）。该漏洞的 WordPress 扫描工具也在不少论坛和网站发布出来。工具能够利用 WordPress 漏洞来进行扫描，也能够发起DDoS 攻击。通过测试，漏洞影响存在 xmlrpc.php 文件的所有版本。

最近我也遇到了大规模的wordpress后台（wp-login.php）爆破，wordpress差点沦为了骇客手中的僵尸机。不过确实一种另类的wordpress暴力破解攻击。骇客利用xmlrpc.php文件来绕过wordpress后台的登陆错误限制进行爆破。

攻击方式

这种利用xmlrpc.php的攻击能够绕过这些限制。攻击的方式直接POST如下数据到xmlrpc.php:

1. <?xml version="1.0" encoding="iso-8859-1"?>
2. <methodCall>
3. <methodName>wp.getUsersBlogs</methodName>
4. <params>
5. <param><value>username</value></param>
6. <param><value>password</value></param>
7. </params>
8. </methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息能够参考官方的指南。若是密码正确，返回为：

密码错误返回为403：

解决方法：

• 安装Login Security Solution插件点击下载
• 或者删除xmlrpc.php文件。
• 设置其权限为不可访问。

附DDoS 漏洞的利用原理

Pingback 是三种类型的反向连接中的一种，当有人连接或者盗用做者文章时来通知做者的一种方法。可让做者了解和跟踪文章被连接或被转载的状况。一些全球最受欢迎的 blog 系统好比 Movable Type、Serendipity、WordPress 和 Telligent Community 等等，都支持 Pingback 功能，使得能够当本身的文章被转载发布的时候可以获得通知。 WordPress 中有一个能够经过 xmlrpc.php 文件接入的 XMLRPC API，可使用 pingback.ping 的方法加以利用。 其余 BLOG 网站向 WordPress 网站发出 pingback，当WordPress处理 pingback 时，会尝试解析源 URL。若是解析成功，将会向该源 URL 发送一个请求，并检查响应包中是否有本 WordPress 文章的连接。若是找到了这样一个连接，将在这个博客上发一个评论，告诉你们原始文章在本身的博客上。 黑客向使用WordPress论坛的网站发送数据包，带有被攻击目标的 URL（源 URL）。WordPress 论坛网站收到数据包后，经过 xmlrpc.php 文件调用 XMLRPC API,向被攻击目标 URL 发起验证请求。若是发出大量的请求，就会对目标 URL 造成 HTTP Flood。固然，单纯向 WordPress 论坛网站发出大量的请求，也会致使 WordPress 网站自身被攻瘫。 除了 DDoS 以外，黑客能够经过源 URL 主机存在与否将返回不一样的错误信息这个线索，若是这些主机在内网中确实存在，攻击者能够进行内网主机扫描。

至于利用xmlrpc.php文件进行DDOS请参考文章：http://www.breaksec.com/?p=6362

 

转载请注明：欲思博客 » 防止WordPress利用xmlrpc.php进行暴力破解以及DDoS