14:47
10/8/2014
10/8/2014
Wektor ataku to znany wszystkim XML bomb wrzucony na interfejs XML RPC — czyli dziura znajduje się w core obu CMS-ów, a nie dodatkowych pluginach. Atak powoduje 100% zajętości procesora serwera. Warto zaktualizować.
- Szkolenia
- |
- 5 PORAD
- |
- Audyty & Pentesty
- |
- SKLEP
- |
- Kontakt
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Dzięki za info, właśnie zaktualizowałem stronę, którą się ‘opiekuje’ z WordPressa 3.8 do 3.9. Tak to by jeszcze wisiała na starej wersji kilka miesięcy… :D
Tak z ciekawości: jaka jest przyczyna trzymania starej wersji, kiedy aktualizacja do nowszej jest wykonalna? Rozumiem sytuacje kiedy psuje się niezbędny plugin lub siada coś w functions.php, ale z Twojej wypowiedzi wynika, że aktualizacja była możliwa.
Swoją drogą dobrze, że ten PoC został opublikowany. Być możne w końcu admini jadący na starociach zostaną zmuszeni do aktualizacji, kiedy hostingi zaczną wypowiadać umowy.
@nonqu
A taka przyczyna, że nie było sensu od razu aktualizować 3.8.x do 3.9.x z. Jest to strona, która po prostu ma wisieć jako wizytówka dla pewnej firmy, więc nowe funkcje z 3.9.x nie były zbytnio wymagane, ot dodatek :P
Jednakże fix dla tego DoS’a był już zainstalowany – WordPress sam instaluje poprawki bezpieczeństwa danej gałęzi (w tym przypadku było to 3.8.3 -> 3.8.4) i za to go lubię :) A aktualizację do nowszej gałęzi trzeba uruchomić ręcznie (no i trzeba wtedy zrobić backup).
Czyżbyś nie robił backupów w innych sytuacjach? Backup trzeba robić tak czy siak, upgrade’a można po prostu zaplanować na dzień backupu. Zresztą skoro to taka prosa stronka firmowa to postaw ją na installatronie i nie martw się backupami.
Na Drupala nie ma jeszcze patch’a…
Jest 7.31, ale od paru dni dopiero…
https://www.drupal.org/SA-CORE-2014-004
100% zużycia procesora bodajże tylko na Apache w trybie prefork (nie mam pewności co do trybu worker i nie wiem jak na mniej popularnych serwerach www). Ngix pluje 502 i FPM się dławi, ale zużycie CPU nie szaleje. To zaś oznacza, że można łatwiej odeprzeć atak. Przy 100% z Apache może się okazać, że się nawet nie wbijemy na maszynę po SSH. Miałem okazję odeprzeć dwa takie ataki. jeden z Hetznera (poszło lekko), a drugi z Amazon – tu było nieco więcej ruchu.
1) Wyłączyć XML-RPC w WP (są gotowe pluginy)
2) Odciąć atakujący IP na IPTables (lub równoważne)
3) Jeśli można, to odciąć na poziomie infrastruktury (sprzętowy/wirtualny FW)
Dziękuję i zaktualizuje :)
A Niebezpiecznik nie boi się że ktoś to wykorzysta przeciw niemu? ;D
By the way inna metoda ataku przez XMLRPC
http://www.incapsula.com/blog/wordpress-security-alert-pingback-ddos.html
Niebezpiecznik zaktualizowany (mamy nadzieję ;-)
XMLRPC powinien być domyślnie wyłączony
ja jestem zwolennikiem rozwiązań skrojonych na miarę, a jak jakiś gotowy klocek do niego stosuję to tak, aby nie pluł swoją wersją, ani najlepiej aby nie dawał się rozpoznać przez użytkownika
wtedy script kiddies nie mają najmniejszych szans, a i ataki skierowane wcale nie są proste
Przy okazji – jakieś dzieciaki robią masowe deface randomowych stron, zapewne korzystając z jakiejś znanej podatności, ale nie wiem jaki jest wektor ataku
http://www.starstv.eu
https://www.facebook.com/MonstersDefacers
Większość stron jest na WordPress od 3.1 do 3.9.2, ale logowanie jest bez żadnej ochrony przeciwko bruteforce.. W takim razie albo jakiś bot która szuka łatwych haseł, albo każda ma ten sam dziurawy plugin?:)
Uzupełnienie – wektor ataku to najprawdopodobniej dwie wtyczki: Slider Revolution Responsive i MailPoet Newsletters. Zainteresowani mogą znaleźć szczegóły w sieci.
Co robić, jak żyć? Jeśli nie ma poprawki na SRR to trzeba chyba chwilowo wywalić (nie wiem czy jest, to płatny plugin), a w przypadku MPN to błąd był poprawiony tego samego dnia po upublicznieniu (w lipcu), więc kto ma starą wersję popełnia grzech ciężki i będzie się smażył w piekle IT.
Installatron i po problemie. :)
Niebezpiecznik nie doczytał strony do której linkuje? Polecenie “Warto zaktualizować” jest niewłaściwe, bo najnowsza wersja WP tez jest przecież podatna.