不要温和的走进那个良夜
Do not go gentle into that good night

WordPress Pingback漏洞及修复

昨日老东家衡天给我发了一封邮件

wordpresstarget

好多东欧的IP扫描xmlrpc.php,经过查询,是在扫描漏洞,

造成的后果:
1.会耗尽流量
2.加大网站占用cpu和内存,导致站点打开缓慢

不得不说用wordpress的服务商就是好,不像有些大点的服务商,完全不管你啥事,比如服务器不稳定就让我重装wordpress,你当是小白重装系统啊,这种感觉就好像我用word写了一天的小说突然家里停电了,电力公司说重装系统吧。捋了捋思路,发现这个问题还挺严重的。

关于pingback:  Pingback 是三种类型的反向链接中的一种,当有人链接或者盗用作者文章时来通知作者的一种方法。可以让作者了解和跟踪文章被链接或被转载的情况。一些全球最受欢迎的blog系统比如Movable Type、Serendipity、WordPress 和Telligent Community 等等,都支持Pingback 功能,使得可以当自己的文章被转载发布的时候能够得到通知(赞一个,好功能啊,不过我从来没发现有用过= =,看来是没人转载我的发布了)。

WordPress中有一个可以通过xmlrpc.php文件接入的XMLRPC API。可以使用pingback.ping 方法利用。远程攻击者可利用此功能扫描内网的主机、分布式DOS拒绝服务攻击等。

1.WordPress 尝试解析源URL,源URL 主机存在与否将返回不同的错误信息。可被攻击者利用来扫描内网的主机。如果这些主机在内网中存在,攻击者可以使用类似http://subversion/或http://bugzilla/or http://dev/to 的URL,来进行扫描。
2.如果源URL 成功解析,WordPress 将尝试连接在URL 中指定的端口。因此,如果一个攻击者使用这样的URL http://subversion:22/,WordPress 会尝试连接到端口22 上的主机。目标端口是否开放返回值是不一样的。因此,此功能可以用于对目标站点内网的主机端口扫描。
3.此漏洞同样可以用于分布式DOS 拒绝服务攻击。攻击者可以利用大量的博客,利用pingback 功能对指定目标URL 进行攻击。
4.从测试中发现WordPress 还支持URL 验证。攻击者可以使用这样的URLhttp://admin:admin@192.168.0.1/changeDNS.asp?newDNS=aaaa 来对内部路由器重新配置。

wordpress pingback bug

说的好像挺严重的(你这话啥意思= =不严重么?)

好吧,我发现这个漏洞只局限于WordPress pingbacks <= 3.5的系统

查看官方日志:

  • A server-side request forgery vulnerability and remote port scanning using pingbacks. This vulnerability, which could potentially be used to expose information and compromise a site, affects all previous WordPress versions. This was fixed by the WordPress security team. We’d like to thank security researchersGennady Kovshenin and Ryan Dewhurst for reviewing our work.

感谢你们啊,然后这就完了么?当然完了,我们版本够安全应该没问题- -但是其实这样也是会消耗流量跟资源的,所以给出一个解决方法:

RewriteRule ^(.*)(xmlrpc)+(.*)$ http://localhost [NC,R=301,L]

赞(0)
未经允许不得转载:林枫紫涵 » WordPress Pingback漏洞及修复

评论 10

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #4

    安全还是得关注!

    氪星人5年前 (2014-04-05)回复
  2. #3

    我也检查一下去了

    kindle之家5年前 (2014-03-31)回复
  3. #2

    无限制流量 cpu一般没事

    晨曦5年前 (2014-03-30)回复
  4. #1

    意思说了那么多 大部分是废话。

    5年前 (2014-03-30)回复
    • @冰: 重点是会烧流量你没看到么= =烧流量喔

      admin5年前 (2014-03-30)回复
      • @admin: 目前流量的概念还停留在手机上 ,还没遇到过网站流量不够。。。。

        5年前 (2014-03-30)回复
        • @冰: = =一般如果一次不够,不出意外,每次都不够,意外有,某些可爱的蜘蛛,一个月爬了我十多GB的流量,然后就莫名其妙不够了,又或者我见过某人被DDOS然后她是按照流量算票子的,所以流量也是哗啦啦,一般那种BAE之类的就是流量算票子的,以前不知道

          admin5年前 (2014-03-31)回复