[Перевод] Более 162.000 сайтов на WordPress использовались для масштабной DDOS-атаки

Сегодня я вам хочу рассказать о крупной DDOS-атаке, усиленной с помощью тысяч отдельных сайтов на движке WordPress.

Любой WordPress сайт с включенным Pingback (который, между прочим, включен по умолчанию), может использоваться в DDOS-атаке на другие сайты [В конце статьи ссылка на онлайн-сервис для проверки вашего сайта на участие в уже известных атаках – прим. переводчика].

Заметьте, XMLRPC используется для pingbacks, trackbacks, удаленного доступа с мобильных устройств и для многого другого, от чего вы, скорее всего, не захотели бы отказаться. Но как мы увидим, его можно использовать не только в благих целях.

История

Эта история произошла с популярным WordPress сайтом, который ушел в оффлайн из-за многочасовой DDOS-атаки. Когда атака усилилась, хостер отключил их сайт, и они приняли решение обратиться к нам за помощью.

После того, как DNS были перенесены, мы, наконец, увидели, что происходит: это была мощная распределенная HTTP-flood Layer 7 атака, выполняющая сотни запросов в секунду к их серверу. Так выглядели эти запросы:

74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com"
121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.kschunvmo.com" 
217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-" "WordPress/3.8.1; http://www.intoxzone.fr" 
193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de" 
..

Вы, возможно, заметили, что у всех запросов есть случайный параметр ("?4137049=643182" и др.), благодаря которому запросы обходят кэш и требуют каждый раз полной перезагрузки страницы. Все это очень быстро убивает сервер.

Но самое интересное, что запросы поступают от других ничем ни примечательных WordPress сайтов. Да, другие WordPress сайты посылают множество запросов со случайным параметром и уводят жертву в оффлайн.
Читать дальше →


 Источник:Хабрахабр, Информационная безопасность

Перейти на сайт

Похожие новости

• Spark_news: Уфимцы — в первых рядах: мечта о Марсе объединяет 27% россиян
• Почему «99.9% аптайма» – это не то, что вы думаете
• Spark_news: Ozon запустил автолизинг для бизнеса
• Креативное ателье Пинк: Как за 125 часов разработали 60 макетов и доработали концепцию | Поддержали дизайном
• Как меняется клиентская коммуникация в 2025 году и что с этим делать бизнесу
• (Не) безопасный дайджест: БД-экстраверты, новейший ИИ по секрету, поздняя карма от Intel
• Как бот привёл в 2,5 раза больше лидов для застройщика в Telegram Ads
• Spark_news: «Авито» представил сервис онлайн-бронирования авто для таксистов
• Атака через заброшенные бакеты
• Открытая платформа ИБ: как превратить инструментальный зоопарк в единую экосистему