#精品
防止WordPress使用xmlrpc.php进行暴力解密和DDoS

2021-08-02 0 607 百度已收录

早在2012年12月17日,使用PHP的著名博客程序WordPress就暴露出一个严重的漏洞,该漏洞覆盖了WordPress的所有发布版本(包括WordPress 3.8.1)。针对此漏洞的WordPress扫描工具也已在许多论坛网站上发布。工具可以使用WordPress漏洞扫描或发起DDoS攻击。测试后,该漏洞会影响现有xmlrpc.php文件的所有版本。
最近,我还遇到了WordPress后台(WP登录)的大规模爆炸。它几乎把WordPress变成了黑客手中的僵尸机器。然而,这是另一种WordPress暴力攻击。黑客使用xmlrpc.php文件绕过WordPress后台的登录错误限制。
攻击模式
使用xmlrpc.php的这种攻击可以绕过这些限制。攻击方法是直接将以下数据发布到xmlrpc.php:

  1. <?xml version=“1.0” encoding=“iso-8859-1”?>
  2. <methodCall>
  3. <methodName>wp.getUsersBlogs</methodName>
  4. <params>
  5. <param><value>username</value></param>
  6. <param><value>password</value></param>
  7. </params>
  8. </methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:

密码错误返回为403:

解决方法:

利用DDoS漏洞利用原则
Pingback是三种类型的反向链接之一。当有人链接或盗用作者的文章时,它是通知作者的一种方式。让作者知道文章是如何被跟踪或链接的。世界上一些最流行的博客系统,如MovableType、serendipity、WordPress和telligentcommunity,都支持Pingback功能,因此当您的文章被转载和发布时,您可以得到通知。WordPress有一个XMLRPC API,可以通过XMLRPC.php文件进行访问,pingback.ping可以使用该文件。其他博客网站向WordPress网站发送pingback。当WordPress处理pingback时,它将尝试解析源URL。如果解析成功,将向源URL发送请求,并检查响应包中是否有指向此WordPress文章的链接。如果你找到这样的链接,你会在这个博客上发表评论,告诉你原来的文章在你自己的博客上。黑客使用WordPress论坛向网站发送带有被攻击目标URL(源URL)的数据包。收到数据包后,WordPress论坛网站通过XMLRPC.php文件调用xmlrpcapi,向目标URL发送身份验证请求。如果发出大量请求,将为目标URL形成HTTP洪水。当然,仅仅向WordPress论坛网站发送大量请求也会导致WordPress网站本身瘫痪。除了DDoS,黑客还可以通过源URL返回不同的错误信息。如果这些主机确实存在于intranet中,则攻击者可以扫描intranet主机。

至于利用xmlrpc.php文件进行DDOS请参考文章:http://www.breaksec.com/?p=6362

收藏 (0) 打赏

感谢您的支持,我会继续努力的!

打开微信/支付宝扫一扫,即可进行扫码打赏哦,分享从这里开始,精彩与您同在
点赞 (0)

免责声明   ⚠️ 1. 本站所有资源来源于网络收集,若资源侵犯了您的合法权益, 请来信通知我们(Email: 1427707223@qq.com),我们会及时删除,给您带来的不便,我们深表歉意! 2. 分享目的仅供大家学习和交流,若使用商业用途,请购买正版授权! 否则产生的一切后果将由下载用户自行承担! 3. 会员不得使用于非法商业用途,不得违反国家法律。否则后果自负! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 6. 因源码具有可复制性,一经购买 ,不得以任何形式退款。 7.更多详情请点击查看

优站网 WordPress 防止WordPress使用xmlrpc.php进行暴力解密和DDoS https://www.zhanceo.com/14575.html

诚乃立身之本、信为道德之基

常见问题
  • 如果付款后没有弹出下载页面,多刷新几下,有问题联系客服!
查看详情
  • 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。
查看详情

相关文章

联系官方客服

为您解决烦忧 - 24小时在线 专业服务

防止WordPress使用xmlrpc.php进行暴力解密和DDoS-海报