Ciber Geek > pingback

pingback

Evita que tu blog en WordPress forme parte de una gigantesca botnet

Wordpress | Sin comentarios

Muchas veces se ha hablado de las varias formas en las que XMLRPC puede ser explotado, pero en éste caso una firma de seguridad descubrió una botnet que utilizaba la funcionalidad de realizar pingbacks de WordPress para realizar ataques de denegación de servicio distribuidos (DDOS).

Sucuri, la firma que realizó el descubrimiento, encontró que un sitio estaba recibiendo un DDOS por parte de miles de sitios legítimos que utilizaban el CMS WordPress. Y la vulnerabilidad explotada en todos ésos sitios era mediante el pingback que utiliza la API provista por XMLRPC. Afortunadamente deshabilitar el pingback no es tan difícil, es cuestión de instalar un plugin o agregar un par de lineas de código al archivo functions.php.

Éste es el código mágico para deshabilitar el pingback que deben agregar al archivo functions.php de su plantilla.

add_filter( ‘xmlrpc_methods’, ‘cibergeek_no_ping’);
function cibergeek_no_ping( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
}

Si no quieren meter mano en el código pueden instalar éste plugin, que solo desactiva el pingback, ya que XMLRPC es utilizado para otras tareas por plugins y aplicaciones que se conectan a WordPress mediante ésta API.

Además, pueden probar si alguno de sus sitios participó de éstos ataques utilizando una herramienta provista por la firma de seguridad. Tengan en cuenta que el listado es limitado, pero revisando los logs de su servidor pueden encontrar mas información, lo que deben buscar es algo similar a lo siguiente:

93.174.93.72 - - [09/Mar/2014:20:11:34 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:<?xml version=\x221.0\x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall>\x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A <param>\x0A  <value>\x0A   <string>http://fastbet99.com/?1698491=8940641</string>\x0A  </value>\x0A </param>\x0A <param>\x0A  <value>\x0A   <string>yoursite.com</string>\x0A  </value>\x0A </param>\x0A</params>\x0A</methodCall>\x0A"

94.102.63.238 – - [09/Mar/2014:23:21:01 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.guttercleanerlondon.co.uk/?7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A"