0

【哈哈】完美解决xmlrpc.php拒绝服务漏洞

Posted by icdt on 2014-08-10 in 计算机网络 |

wp_hack

1. wordpress Pingback 漏洞的发现

早在2012 年 12 月 17 日一些采用 PHP 的知名博客程序 WordPress被曝光存在严重的漏洞,该漏洞覆盖WordPress 全部已发布的版本(包括WordPress 3.8.1)。该漏洞的 WordPress 扫描工具也在很多论坛和网站发布出来。工具可以利用 WordPress 漏洞来进行扫描,也可以发起DDoS 攻击。经过测试,漏洞影响存在 xmlrpc.php 文件的全部版本。

2. 漏洞的利用原理

Pingback 是三种类型的反向链接中的一种,当有人链接或者盗用作者文章时来通知作者的一种方法。可以让作者了解和跟踪文章被链接或被转载的情况。一些全球最受欢迎的 blog 系统比如 Movable Type、Serendipity、WordPress 和 Telligent Community 等等,都支持 Pingback 功能,使得可以当自己的文章被转载发布的时候能够得到通知。 WordPress 中有一个可以通过 xmlrpc.php 文件接入的 XMLRPC API,可以使用 pingback.ping 的方法加以利用。 其他 BLOG 网站向 WordPress 网站发出 pingback,当WordPress处理 pingback 时,会尝试解析源 URL。如果解析成功,将会向该源 URL 发送一个请求,并检查响应包中是否有本 WordPress 文章的链接。如果找到了这样一个链接,将在这个博客上发一个评论,告诉大家原始文章在自己的博客上。 黑客向使用WordPress论坛的网站发送数据包,带有被攻击目标的 URL(源 URL)。WordPress 论坛网站收到数据包后,通过 xmlrpc.php 文件调用 XMLRPC API,向被攻击目标 URL 发起验证请求。如果发出大量的请求,就会对目标 URL 形成 HTTP Flood。当然,单纯向 WordPress 论坛网站发出大量的请求,也会导致 WordPress 网站自身被攻瘫。 除了 DDoS 之外,黑客可以通过源 URL 主机存在与否将返回不同的错误信息这个线索,如果这些主机在内网中确实存在,攻击者可以进行内网主机扫描。

 

解决方法:

(1)首先,删除xmlrpc.php

(2)安装三个插件:

【Prevent XMLRPC】作用:禁用XMLRPC

【Remove XMLRPC Pingback Ping】作用:不响应ping

【SEO Redirection】   作用:把http://abc.com/xmlrpc.php重新定向到 http://baidu.com 或者别的网址

 

发表回复

版权所有 © 2009-2023 不知道起什么标题 A.CX / Q.ST / Z.ST / 6.LS / WO.GS 本人保留本站所有权利

我并不是一个炒域名的,80%的情况,我都是为自己以后新的商业方向在屯域名,更多的是考虑商业用途。
总的原则是:我可以不用,但是先屯着,哪天启用不知道。就是玩。
【珍爱生命 坚决不碰.com 大顶背离 最辉煌的时代已过,如今百家争鸣,百花齐放 】
单字符 a.cx / 6.ls / z.st / q.st / n.srl
游戏酷 YX.COOL
电竞酷/店家酷/大家酷 DJ.COOL
数字酷/神舟酷/神州酷 SZ.COOL
AI人工智能 ai.st / ai.gy / zai.ee / gai.ee / kuai.ee
元宇宙 yuan.st / yuan.ee / imeta.ee
云计算 YUN.gs
QP全品汇 qp.gs
RH融合/融汇 rh.gs
押宝/抵押/质押/压注/牙齿 YA.gs
付/服/富/福/复/辅 FU.gs
xin概念 xin.st / xin.sx / xin.mx / xin.gd
金融类 sh.vc / cf.cx / xcj.cc / ebank.xin / fei.ee / fei.gs
新品/芯片/相片/小品/鲜品查询 xp.cx
统一/体育/体验/通用/天眼查询 ty.cx
科技/空间/开奖/快捷/跨境查询/科技创新 KJ.CX
户籍/环境/黄金/获奖/幻境查询/创新 hj.cx
工业/公园/公寓/供应/工艺/公用/公益查询/创新 gy.cx
壁纸/标志/标准/包装/币种/保障/博主查询/创新 bz.cx
版权/表情/标签/百强/便签/百强/霸气查询/创新 bq.cx
客户/开户/科幻/狂欢查询/创新 kh.cx
百日/百融/百润/百荣查询/创新 br.cx
名牌/门牌/米铺/名片查询/创新 mp.cx
商务/事务/税务/食物/思维/上网查询/创新 sw.cx
法律/返利/福利/风冷/分类/风力查询/创新 fl.cx
业务/药物/衣物/愿望/运维/英文查询/创新 yw.cx
信号/笑话/协会/现货/玄幻/虚幻查询/创新 xh.cx
资本/直播/周边/主播/指标/装备/主板查询/创新 zb.cx
账期/证券/债权/赚钱/足球/桌球/中签查询/创新 zq.cx
汽车行业 che.cx
房产讯/房查询/房车行 fcx.cc
类淘宝/网购/团购行业 tao.gs / tuan.gs
共享经济 gxt.cc
city 城市类 mo.city / bao.city / wode.city
大上海/生活 mmsh.cn / ppsh.cn /kqsh.cn / shc.ren
ktsh.cn / rdsh.cn / pmsh.cn
上海/香港 shk.cc
网站门户类 csb.wang / xbb.wang
夜生活类 ye.ee / YE0.cn / am6.cn
ci /词系列 lx.ci / gj.ci / gs.ci / xs.ci / ico.ci
大中华 CHINA.LT
其他商业用途 新时期xsq.cc / wpi.cc / 微社团wei.st / 173.pm / riso.vip / PCO.LTD/ PICO.LTD
万维时空wwsk.cn / 万维美居wwmj.cn / 完美时光wmsg.cn/ 分公司fen.gs
私人用途 wo.gs / oh.gs / zis.cc / chen.ee / 霸气ba7.cn / 6vd.cn
All Included.

Top