יותר מ- 162 אלף אתרי וורדפרס שימשו להתקפת מניעת שירות

התקפות מניעת שירות (DDOS) הופכות לבעיה מרכזית עבור בעלי אתרים. דניאל סיד, מייסד חברת Sucuri, מתאר בבלוג החברה התקפת ענק למניעת שירות אשר ניצלה אלפי אתרי וורדפרס כערוצי תקיפה.

תקיפת ה- DDOS אותה מתאר סיד התבצעה אל מול אתר וורדפרס מוכר אשר נפל למשך שעות ארוכות. ההתקפה התרחבה לאורך הזמן, והשרת המארח סגר אותם.

כל אתר וורדפרס שפעילה אצלו אפשרות הפינגבק (המופעלת כברירת מחדל) יכול לשמש לצורך הפעלת התקפת DDOS נגד אתרים אחרים. ה- XMLRPC משמש לפינגבק, טראקבאק, גישה מרחוק ממכשירים ניידים, ומאפיינים שימושיים נוספים, אך הוא יכול גם להפוך לאמצעי פוגעני.

לאחר שהחברה פנתה לשירות הפיירוול של סוקורי. פתיחת שער הגישה לאתר, ניתן היה לראות כי מדובר בהתקפת הפצה מבוזרת (layer 7) אשר שלחה מאות בקשות בשניה.

הבקשות נראו כך:

193.197.34.216 – – [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de"

..

סיד מציין כי כל הבקשות הכילו ערך רנדומלי אשר עקף את הקאש והכריח העלאה מלאה של הדף עבור כל בקשה. "זה הרג את הדפדפן במהירות", הוא כותב.

החלק המעניין בהתקפה היה כי כל הבקשות הגיעו מאתרי וורדפרס אמיתיים ופעילים.

במהלך מספר שעות, למעלה מ- 162,000 אתרי וורדפרס לגיטימיים ניסו לתקוף את האתר. ייתכן והמספר היה גודל אך בחברה חסמו את הבקשות בפיירוול החדש.

"אתם רואים כמה עוצמתי זה יכול להיות? תוקף אחד יכול להשתמש באלפי אתרי וורדפרס פופלאריים ונקיים כדי לבצע התקפת DDOS, תוך הסתתרות בצללים. הכל קורה באמצעות בקשת פינג פשוטה לקבוץ ה- XML-RPB", מסיר סיד.

כדי להבדוק האם אתר מסויים משתתף בתקיפה של אתרים אחרים, יש לבחון את הלוגים ולחפש אחר בקשות POST לקובץ XML-RPC.

ניתן להגן על האתר באמצעות הוספת הקוד בפלאגין:

add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
} );

בסוקורי גם מציעים לשימוש סורק לאתרי וורדפרס WordPress DDOS Scanner