近日,安全公司Sucuri发现黑客利用超过16.2万WordPress网站的Pingback功能进行大规模DDoS放大攻击。当然,攻击对象也必须是WordPress站点。
黑客利用了WordPress内容管理系统默认的Pingback(回链)功能,通过网站的XML-RPC(远程过程调用协议)发送请求实现DDoS放大攻击。
在安全牛之前的文章“Cloudflare遭受史上最猛烈DDoS攻击“一文中,我们曾介绍继DNS放大攻击之后,攻击者近来开始流行使用网络时间协议反射(NTP reflection)进行放大攻击。但是利用WordPress的Pingback功能进行放大攻击则更加“便捷”和“别出心裁”。
攻击者假冒受攻击目标网站的IP地址给数以万计WordPress站点发送Pingback请求,打开Pingback功能的站点会向受攻击网站(也是WordPress站点)发送大量流量。
根据Sucuri的官方博客,仅仅数小时内,超过16.2万Wordpress网站开始向受攻击网站发送大量数据,最后Sucuri不得不在边缘防火墙屏蔽了Pingback流量,以避免日志文件被垃圾化。
Sucuri指出通过WordPress站点进行放大攻击的威力超出想象,大量知名合法WordPress站点也加入攻击行列,而幕后黑客则深藏不漏,而这一切仅仅是向XML-RPC文件发送了一个Pingback请求。
与国外技术博客A Programmer’s Blog爆出的Google爬虫可被用于DDoS攻击任意网站类似,在WordPress核心开发团队很早就注意到Pingback功能可能引起的麻烦,但却不认为这是个bug,而且很多第三方Wordpress插件还会调用这个功能,因此Wordpress开发团队也有些骑虎难下。
安全牛建议广大WordPress站点管理员尽快关闭Pingback功能,这个功能对SEO并无多大裨益,反而会招致垃圾评论甚至被黑客利用发起DDoS放大攻击。