DDoS-Attacken mit Hilfe von WordPress-Sites

Anfang des Monats stand die Website eines Kunden des IT-Sicherheitsunternehmens Sucuri im Visier einer schweren DDoS-Attacke, in die über 162.000 „populäre und saubere“ WordPress-Sites involviert waren. Um diese Vermittler dazu zu bringen, für sie zu arbeiten, setzten die Angreifer den Pingback-Mechanismus dieses Content Management Systems ein.

Obgleich dieser Mechanismus nicht selten auf diese Art missbraucht wird, wird WordPress das Schlupfloch wohl kaum jemals stopfen. Pingback ist eine Default-Option dieses CMS und kein Defekt, daher müssen die Entwickler der Websites das Problem eines möglichen Missbrauchs selbst lösen.

Die Angreifer verwendeten eine Reihe von Websites mit aktiviertem Pingback, das es erlaubt mittels eines XML-RPC eine Benachrichtigung anzufordern und das Verlinken über Kreuz zwischen Blogs wesentlich erleichtert. Nach den Worten von Daniel Cid, CTO von Sucuri, wurde die DDoS-Attacke auf Schicht 7 (Anwendungsschicht) durchgeführt und mündete in einen stundenlangen HTTP flood, im Zuge dessen auf dem angegriffenen Server hunderte von Anfragen pro Sekunde aufliefen.

Der Experte weist darauf hin, dass solche Angriffe schwer zu detektieren sind: Jede Anfrage sieht so aus, als käme sie von legitimen Ressourcen. In diesem Fall erwies es sich sogar als richtig, alle 162.000+ legitimen Websites stellten „in sehr großem Umfang willkürliche Anfragen“. Jede POST-Anfrage enthielt dabei einen zufälligen Wert, was die Site zum Absturz brachte, indem der Cache umgangen und jedes Mal ein neues Laden der Seite erzwungen wurde. „Wir hätten sicherlich noch viel mehr Sites gefunden“, räumt Cid ein, „allerdings waren wir der Meinung, dass wir genug gesehen haben und blockierten die Anfragen an der Edge-Firewall, damit die Logs nicht mit Müll verstopft würden.“

„Jede beliebige WordPress-Website mit aktiviertem Pingback (standardmäßig aktiviert) kann zum Teilnehmer an einer DDoS-Attacke auf andere Sites werden“, warnt der Chef von Sucuri. „Ein Angreifer kann tausende populäre und saubere WordPress-Sites zu Mittätern machen und dabei selbst im Schatten bleiben, und Schuld an allem ist eine einfache Pingback-Anfrage.“

Anfragen an die Datei xmlrpc.php können problemlos in den Logs gefunden werden, und Cid ruft alle Anwender von WordPress dazu auf, einen Check zu machen und sich davon zu überzeugen, dass ihre Websites nicht von Mit-Usern angegriffen werden. Diese Anfragen können folgendermaßen aussehen:

93.174.93.72 – –
[09/Mar/2014:20:11:34 -0400] “POST /xmlrpc.php HTTP/1.0″ 403 4034 “-” “-” “POSTREQUEST:x0Ax0Apingback.pingx0Ax0Ax0Ax0Ahttp://targetsite.domain/?1698491=8940641x0Ax0Ax0Ax0A x0A yoursite.domainx0A x0A x0Ax0Ax0A”

94.102.63.238 – –
[09/Mar/2014:23:21:01 -0400] “POST /xmlrpc.php HTTP/1.0″ 403 4034 “-” “-” “POSTREQUEST:x0Ax0Apingback.pingx0Ax0A x0A x0A http://www.targetsite.domain/?7964015=3863899x0A x0A x0A x0A x0A yoursite.domainx0A x0A x0Ax0Ax0A”

Man kann auch einen eigens von Sucuri herausgegebenen Scan-Service nutzen. Gleich nach dem nicht genannten Kunden dieses Unternehmens griffen Online-Gangster auf dieselbe Art und Weise den berühmten Journalisten und Forscher Brian Krebs an. Seiner Aussage zufolge waren an dieser DDoS-Attacke mehr als 42.000 WordPress-Websites unfreiwillig beteiligt. Das bedeutet also, diese von Cyberkriminellen gestartete Kampagne ist vorerst noch nicht beendet.

Wenn Sie entdeckt haben, dass Ihre Website auch in laufende DDoS-Attacken verwickelt ist, empfehlen die Experten, einen API-Filter zu erstellen, nachdem der folgende Code in eine Schablone geschrieben wurde:

add_filter( ‘xmlrpc_methods’, function( $methods ) { unset( $methods[‚pingback.ping‘] ); return $methods; } )

Es wird nicht empfohlen, die Pingback-Funktion durch Löschen der Datei xmlrpc.php zu deaktivieren, da damit auch andere Mechanismen außer Kraft gesetzt werden, die diese Schnittstelle nutzen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.