وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • حملات DDoS از طریق سایت‌های WordPress

    احسان جاویدی دوشنبه ۴ فروردین ۱۳۹۳ آموزش , امنیت , مقالات

    حملات DDoS امروزه به‌دلیل اهمیت موضوع، بسیار مورد مطالعه و بررسی قرار می‌گیرد. در این مقاله قصد داریم تا درباره حمله‌ای گسترده که توانسته از هزاران سایت WordPress از همه جا بی‌خبر به‌عنوان منبع تکثیر استفاده کند، صحبت کنیم.

    حملات DDOS از طریق سایت های wordpress

    بیش از ۱۶۲۰۰۰ سایت WordPress برای حملات توزیع شده اختلال در سرویس (DDoS) استفاده می‌شوند. چنانچه قابلیت pingback در سایت WordPress  فعال باشد (به‌صورت پیش فرض غیرفعال است) می‌تواند برای حملات DDoS علیه سایت دیگر استفاده شود. توجه داشته باشید که XMLRP در pingback، Trackbacks، remote access از طریق موبایل و تعدادی ویژگی دیگر که شما احتمالا خیلی به آن‌ها علاقمندید، استفاده شده‌است بنابراین آن‌ها نیز می‌توانند مورد سوء استفاده قرار گیرند.

    بررسی روال انجام حملات DDoS  به کمک سایت WordPress:

    حمله DDOS علیه یک سایت WordPress پربازدید توانست آن را برای ساعت‌های طولانی با کندی زیادی مواجه کند، زمانی که این حملات زیاد شد هاست سایت به کلی از سرویس دهی ناتوان و سایت از دسترس خارج شد.

    برای رفع مشکل صاحبان سایت مجبور شدند که سرور خود را در zone یک فایروال قرار دهند تا بتوانند حملات را مانیتور نمایند. پس از انتقال متوجه یک حمله سیل آسای توزیع شده مبتنی بر HTTP شدند. هزاران request (درخواست) در هر ثانیه به سمت سرور ارسال می‌شد، درخواست‌ها به‌صورت زیر بودند:

    توجه نمایید همه پرس ‌و جوها یک مقدار تصادفی مثل “?۴۱۳۷۰۴۹=۶۴۳۱۸۲″ دارند که باعث می‌شود هر بار کش سایت پاک و مجدد به طور کامل load شود، این مسئله باعث down شدن سرور می‌شود. مطلب جالب‌تر اینجاست که همه درخواست‌ها از IPهای معتبر و قانونی متعلق به سایت‌های WordPress است. سایت‌های وردپرس با ارسال درخواست‌های تصادفی در حجم بالا دلیل down شدن سایت قربانی بوده‌اند!

    تنظیمات پیش‌فرض ناامن وردپرس:

     

    حملات DDOS از طریق سایت های wordpress

    در ظرف کمتر از چند ساعت، بیشتر از ۱۶۲۰۰۰ سایت وردپرس مختلف و معتبر سعی داشتند که به سایت قربانی حمله کنند. یک مهاجم می‌تواند تا زمانی که به صورت پنهانی در سایه است ازهزاران سایت پربازدید وردپرس برای انجام حملات DDoS خود  استفاده نماید و همه این اتفاقات به خاطر یک درخواست pingback ساده در فایل XML-RPC است. دستور ساده زیر در لینوکس می‌تواند شروع کننده این قبیل حملات باشد:

    برای بررسی حملات دیگر به سایت، می‌توان از طریق logهای سایت درخواست‌های post به فایل XML-RPC را بررسی نمود. اگر pingbackای به یک url تصادفی را مشاهده کردید، متوجه خواهید شد که سایت شما مورد سوء استفاده قرار گرفته است.

    در موارد بالا، سعی در استفاده از honeypotهای فایروال جهت DDoS به  fastbet99.com و guttercleanerlondon.co.uk  شده‌است.

    برای جلوگیری از سوء استفاده از سایت‌های وردپرس نیاز است تا تابع XML-RPC یا pingback غیرفعال شوند. روش بهتر جهت مسدود کردن این نوع حملات اضافه کردن یک plugin فیلترکننده به صورت زیر می‌باشد:

    متاسفانه تا این لحظه نه تنها هیچ گونه patcheای از سوی تیم اصلی وردپرس عرضه نشده‌ است بلکه در موارد زیادی از تابع XML-RPC یا pingback به عنوان یک ویژگی نام  برده شده و پلاگین‌های زیادی نیز از آن استفاده می‌کنند که این یک معضل بزرگ به شمار می‌آید.

    0

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

3 پاسخ به “حملات DDoS از طریق سایت‌های WordPress”

  1. سئو سایت گفت:

    خیلی عالی بود

    من یه سایت ورد پرسی دارم که یکی از منوهاش هی هک می شه

    نمی دونم قضیه چیه؟؟!!!!

    0

  2. علیرضا گفت:

    واقعا عالی بود .
    سایت بنده هم مورد حمله قرار گرفته بود که با غیر فعال کردن کارایی XML-RPC وردپرس این مشکل رو حل کردم .
    البته چون دیر متوجه این جریان شدم یه دو روزی سایت به دلیل فشار زیاد روی سرورها بسته شد .

    بازم ممنون

    0

  3. مصطفی گفت:

    اگر این متن رو در فایل htaccess کپی کنید دسترسی به این فایل محدود میشه :

    # Block WordPress xmlrpc.php requests

    order deny,allow
    deny from all
    allow from 123.123.123.123

    0

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *