» »

Napad spreminja strani na WordPressu v zombije za DDoS

Napad spreminja strani na WordPressu v zombije za DDoS

Ars Technica - Koordinirani napadi DDoS na spletne strani lahko uporabljajo različne vektorje za ojačitev, recimo strežnike za sinhronizacijo ure NTP, sistem DNS-strežnikov ali pa strani na WordPressu. Raziskovalci opisujejo, kako so napadalci uporabili 162.000 legitimnih strani na WordPressu za DDoS na neko stran.

Izkoristiti je mogoče strani, ki imajo vključen pingback, kar je privzeta nastavitev ob namestitvi WordPressa. V tem primeru je mogoče uporabiti protokol XML-RPC za pingback, trackback, oddaljen dostop in druge vrste nadzora. To se je zgodilo neimenovani strani, ki so jo zasuli HTTP-zahtevki z različnimi argumenti, da so sprožili vsakokratno generiranje celotnega odgovora in obšli caching.

Analiza je pokazala, da so vsi zahtevki izvirali iz legitimnih strani na WordPressu. Do prekinitve iskanja so jih našli 162.000, bržkone pa jih je bilo še več. Napad je zelo enostavno sprožiti, saj je treba stranem le podtakniti lažen IP-naslov, ki pripada tarči, pa jo bodo zasule z zahtevki. Ker ti sodijo na nivo 7 in ne 3, stran ohromi že manjša količina prometa kot na primer pri napadu prek NTP-strežnikov.

Proti opisani težavi se bo zelo težko boriti. Čeprav lahko vsak lastnik WordPressa izključi XML-RPC na svoji strani, si s tem v bistvu onemogoči pomembno funkcionalnost. Mogoče je uporabiti filter ali pa omenjeni promet blokirati v požarnem zidu. Na spletni strani Sucuri je mogoče preveriti, ali vaš WordPress izvaja DDoS.

Matt Mullenweg, vodja projekta WordPress, pravi, da XML-RPC ne predstavlja večje nevarnosti na internetu. Pravi, da je ranljivost poznana že dlje časa (vsaj od leta 2007), a se redko izkorišča razen v eksperimentih, ker obstajajo učinkovitejši in cenejši načini za proženje napadov DDoS. A vseeno to ni prvikrat, da smo tovrsten napad videli tudi v divjini.

15 komentarjev

FireSnake ::

Stran smo imeli v Joomli. Posodabljali, vseeno so nam vderli.

Vidim, da je WP enako s*anje.

Naredil stran custom na novo v .NETu in imam mir.

Pa ne zagovarjam .NETa, če bi naredil custom v PHPju bi tudi mirno spal.

Nikoli več znanih CMSov!!!
Poglej in se nasmej: vicmaher.si

RejZoR ::

A pre-made Wordpress pa to ne moti al imajo tud kakšne težave?
Angry Sheep Blog @ www.rejzor.com

Netrunner ::

FireSnake je izjavil:

Stran smo imeli v Joomli. Posodabljali, vseeno so nam vderli.

Vidim, da je WP enako s*anje.


In še vedno vsi vztrajajo z joomlo in WP namesto da bi uporabili kakšen konkreten CMS
Doing nothing is very hard to do... you never know when you're finished.

win64 ::

Predvsem gledajo to skozi denar. Stran v joomli/wordpress lahko postaviš za 300€(100€ za template(lahko tudi zastonjskega), 200€ za 3 urice dela + namestitev na produkcijo). PHP strežniki so tudi cenejši.
Medtem pa lahko greš na konkreten CMS, kjer te bo sama licenca stala 1000€.

Tody ::

Bulshit ne obstaja konkreten CMS... Vsi so enako sranje, samo vprašanje je kdo se spravi na kaj :)

Poldi112 ::

Meni se wordpress čisto obnese. Parkrat na leto ga update-am, hkrati pa spremljam novice glede ranljivosti (ki jih je pri tako popularnem projektu težko zgrešiti), to je pa to.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Netrunner ::

Tody je izjavil:

Bulshit ne obstaja konkreten CMS... Vsi so enako sranje, samo vprašanje je kdo se spravi na kaj :)


Ni 100% varnega CMSja vendar ne moreš metat vse v isti koš.
Doing nothing is very hard to do... you never know when you're finished.

Looooooka ::

WP je bil vedno drek in vedno bo drek.
Edini razlog zakaj se ga uporablja je, ker ga lahko vsak pek malce spreminja...in glede na buge je teh pekov več kot kruha.
Bog pomagaj tistemu, ki nima userja pod katerim laufa to sranje zaklenjenega v tist svoj folder tko, da še pogledat ne more iz njega.

Tody ::

the-urosh z modularnostjo pridejo težave, če si napišeš svoj cms in ga zakleneš tako da ga lahko samo ti s kodo preurejaš nisi lih kaj dosti naredil. Bogi uni k bi moral za tabo kaj popravljat... Sicer pa čakam še na kako referenco PRAVEGA CMS-a

win64 ::

Sitefinity recimo je dober primer CMS-ja. Edina večja težava je cena.

FireSnake ::

Poldi112 je izjavil:

Meni se wordpress čisto obnese. Parkrat na leto ga update-am, hkrati pa spremljam novice glede ranljivosti (ki jih je pri tako popularnem projektu težko zgrešiti), to je pa to.


Jaz nikoli več!
Meni ni treba skrbeti za nič, razen novih funkcionalnosti.

Na začetku več dela, a imam miren spanec.

CMS, kakršen koli že, nikoli več.
Poglej in se nasmej: vicmaher.si

win64 ::

FireSnake je izjavil:

Poldi112 je izjavil:

Meni se wordpress čisto obnese. Parkrat na leto ga update-am, hkrati pa spremljam novice glede ranljivosti (ki jih je pri tako popularnem projektu težko zgrešiti), to je pa to.


Jaz nikoli več!
Meni ni treba skrbeti za nič, razen novih funkcionalnosti.

Na začetku več dela, a imam miren spanec.

CMS, kakršen koli že, nikoli več.


In kako potem uporabniki spreminjajo vsebino, spreminjajo strukturo strani, dodajajo slike in datoteke?

ZigaZiga ::

win64 je izjavil:

FireSnake je izjavil:

Poldi112 je izjavil:

Meni se wordpress čisto obnese. Parkrat na leto ga update-am, hkrati pa spremljam novice glede ranljivosti (ki jih je pri tako popularnem projektu težko zgrešiti), to je pa to.


Jaz nikoli več!
Meni ni treba skrbeti za nič, razen novih funkcionalnosti.

Na začetku več dela, a imam miren spanec.

CMS, kakršen koli že, nikoli več.


In kako potem uporabniki spreminjajo vsebino, spreminjajo strukturo strani, dodajajo slike in datoteke?


Glede uporabe in neuporabe CMS je predvsem odvisno, kakšne narave je spletna stran:
-če je aktivna/dinamična, da se vsebina vsak dan menja (novice itd.), potem je zamudno vsak dan prilagajat source code in posodablat slike;
-če pa je bolj statična, da je vsebina več ali manj časa ista, potem pa niti ni potrebe po nekem sfriziranem vmesniku, ki ti omogoča lažje delo, ko pa ga v resnici ne potrebuješ.

Looooooka ::

Problem nastane, ko ugotoviš, da moraš potem redno slediti napakam v tem CMS-ju.
Folk ga pograbi...teme, moduli, hacki se razširijo hitreje kot burek po Sloveniji in potem imaš take probleme.
Še hujše je seveda, da je potem večina uporabnikov takih, ki v bistvu nimajo pojma o programiranju in so do bloga prišli z enkratnim plačilom za postavitev in seveda samo dodajajo vsebino.
In glede na število zombijev je takih strani kar nekaj...
Če pa pač zadevo postaviš s svetu neznano kodo bo trajalo precej dlje časa preden bo zadeva tako masovno zlorabljena.
Pa na koncu so kljub avtomatskim posodobitvam še problemi, ko potem tema recimo ni več kompatibilna in ljudje pač uporabljajo hroščato verzijo, ker je pač lažje, kot popravljati tisto, kar ne dela.
V bistvu je to problem večine CMS-jev...wordpress je kriv samo tega, da je pač med najbolj uporabljenimi :)

Tody ::

Dokler delaš projekte zase vse lepo in prav, ko pa enkrat postaviš 20+ strani na svojem super duper cms-ju, ki to ni pa potem imaš 30 ljudi na telefonu, ki bi samo neki spremenil seveda, zastojn pa delaš cel dan samo da bi jim ugodil in se potem ustreliš raj drug dan v nogo...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kako se bo WordPress množično posodabljal

Oddelek: Novice / Omrežja / internet
185359 (3996) Hermit Bob
»

GHOST - resna ranljivost v glibc

Oddelek: Novice / Varnost
257134 (4261) jype
»

Blogi na WordPressu pogost vektor napada

Oddelek: Novice / Varnost
104878 (4272) win64
»

Hud napad DDoS na WordPress.com

Oddelek: Novice / Omrežja / internet
84058 (2592) NSA Agent
»

Spletna stran pozareport.si je bila žrtev hekerja Piromana

Oddelek: Novice / Omrežja / internet
3912928 (10149) Pyr0Beast

Več podobnih tem