Securi技術長Daniel Cid表示,駭客濫用了Pingback功能,利用至少16.2萬個WordPress網站來癱瘓目標網站。以WordPress架站的使用者,若懷疑自己可能淪為DDoS幫兇,可以檢視網站有否任何XMLRPC檔案的POST請求,倘若當中含有隨機網址的Pingback執行,那麼網站應該已被濫用。

資安業者Securi揭露,有超過16.2萬個無辜的WordPress網站被當成執行分散式阻斷服務攻擊(DDoS)的傀儡,Securi 並釋出偵測工具以協助WordPress網站確認是否成為DDoS攻擊的幫兇。

Securi是在協助某個WordPress網站阻擋DDoS攻擊時發現這些攻擊流量是來自16.2萬多個合法且有效的WordPress網站,而且駭客使用非常簡單的手法就讓這些WordPress網站淪為攻擊工具。

根據Securi的說明,WordPress有一個可在有人連結或參考WordPress網站時進行回報的Pingback功能,Pingback使用XMLRPC進行遠端程序呼叫,通常一個Pingback就是一個XML-RPC請求,當A部落客寫了一篇連結到B部落客的文章時,就會從A站傳送一個XMLRPC到B站,B站收到通知就會到A站檢查連結是否存在。而Pingback在任何WordPress網站的預設值都是啟用的。

pingback

Securi技術長Daniel Cid表示,駭客濫用了Pingback功能,利用至少16.2萬個WordPress網站來癱瘓目標網站。

以WordPress架站的使用者,若懷疑自己可能淪為DDoS幫兇,可以檢視網站有否任何XMLRPC檔案的POST請求,倘若當中含有隨機網址的Pingback執行,那麼網站應該已被濫用。

Securi已開發一檢測工具讓WordPress站長掃瞄自己的網站是否被用來攻擊其他網站,並建議站長關閉網站的Pingback功能。

WordPress及其核心開發團隊都已知道此一問題,但最大的挑戰在於駭客所利用的是合法的功能,而非平台漏洞,因此也許不會有任何修補措施,但可能會有可分辨流量好壞的配套方案出爐。

WordPress是全球最受歡迎的部落格架站平台,不但是個人部落客架站的第一選擇,同時也是全球許多知名新聞網站所採用的架站軟體。根據最新數字,目前全球使用WordPress的網站已有將近7700萬個。(編譯/陳曉莉)

原文:http://www.ithome.com.tw/news/85813

 

點閱: 118

By tony

自由軟體愛好者~喜歡不斷的思考各種問題,有新的事物都會想去學習嘗試 做實驗並熱衷研究 沒有所謂頂天的技術 只有謙虛及不斷的學習 精進專業,本站主要以分享系統及網路相關知識、資源而建立。 Github http://stnet253.github.io

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。

這個網站採用 Akismet 服務減少垃圾留言。進一步了解 Akismet 如何處理網站訪客的留言資料