A galera do Sucuri Labs descobriu nesta semana um ataque de negação de serviço (DDoS) baseado em uma rede com mais de 162 mil sites em WordPress. A ataque foi direcionada a uma página não revelada, que ficou fora do ar por horas graças às centenas de solicitações geradas por segundo pelo golpe de layer 7 (baseado em HTTP).

O ataque é baseado em pedidos ao arquivo XML-RPC de cada um dos sites que faz parte da rede. O item, que fica ativo por padrão em qualquer página em WordPress, é responsável não só pelo recurso de ping back dos sites, como também pelo de track back e de acesso remoto, segundo a Sucuri.

As solicitações são geradas pelos crackers de forma a parecer que vêm todas do site que desejam derrubar. Dessa forma, as respostas são todas direcionadas para a página, gerando um volume de dados similar ao de milhares de visitantes a acessando ao mesmo tempo. Como esse total supera o suportado pela página, ela sai do ar.

A turma da Sucuri Labs desenvolveu uma ferramenta para você descobrir se seu site em WordPress está sendo usado em alguma botnet do tipo. Basta digitar o endereço no campo e apertar o “Check Site”. Caso a página esteja envolvida em uma rede do tipo, uma das soluções é simplesmente desligar o recurso de ping back no painel de controle. Outra opção recomendada é criar e utilizar um plugin com o seguinte filtro:

add_filter( ‘xmlrpc_methods’, function( $methods ) {

   unset( $methods[‘pingback.ping’] );

   return $methods;

} );

Oliveira Lima

Oliveira Lima

Oliveira Lima atua na área de segurança da informação há 10 anos, especialista em Pentest, Analise de vulnerabilidades e Hardering. Dedica-se também a pesquisas e analise de malware. Criou o Blog roothc.com.br, com intuito de manter o publico atualizado sobre noticias do mundo Linux e hacking, alem de dividir conhecimentos e propor debates.
Oliveira Lima