10/8/2014
Wektor ataku to znany wszystkim XML bomb wrzucony na interfejs XML RPC — czyli dziura znajduje się w core obu CMS-ów, a nie dodatkowych pluginach. Atak powoduje 100% zajętości procesora serwera. Warto zaktualizować.
o bezpieczeństwie i nie...
Wektor ataku to znany wszystkim XML bomb wrzucony na interfejs XML RPC — czyli dziura znajduje się w core obu CMS-ów, a nie dodatkowych pluginach. Atak powoduje 100% zajętości procesora serwera. Warto zaktualizować.
Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!
Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:
Dzięki za info, właśnie zaktualizowałem stronę, którą się ‘opiekuje’ z WordPressa 3.8 do 3.9. Tak to by jeszcze wisiała na starej wersji kilka miesięcy… :D
Tak z ciekawości: jaka jest przyczyna trzymania starej wersji, kiedy aktualizacja do nowszej jest wykonalna? Rozumiem sytuacje kiedy psuje się niezbędny plugin lub siada coś w functions.php, ale z Twojej wypowiedzi wynika, że aktualizacja była możliwa.
Swoją drogą dobrze, że ten PoC został opublikowany. Być możne w końcu admini jadący na starociach zostaną zmuszeni do aktualizacji, kiedy hostingi zaczną wypowiadać umowy.
@nonqu
A taka przyczyna, że nie było sensu od razu aktualizować 3.8.x do 3.9.x z. Jest to strona, która po prostu ma wisieć jako wizytówka dla pewnej firmy, więc nowe funkcje z 3.9.x nie były zbytnio wymagane, ot dodatek :P
Jednakże fix dla tego DoS’a był już zainstalowany – WordPress sam instaluje poprawki bezpieczeństwa danej gałęzi (w tym przypadku było to 3.8.3 -> 3.8.4) i za to go lubię :) A aktualizację do nowszej gałęzi trzeba uruchomić ręcznie (no i trzeba wtedy zrobić backup).
Czyżbyś nie robił backupów w innych sytuacjach? Backup trzeba robić tak czy siak, upgrade’a można po prostu zaplanować na dzień backupu. Zresztą skoro to taka prosa stronka firmowa to postaw ją na installatronie i nie martw się backupami.
Na Drupala nie ma jeszcze patch’a…
Jest 7.31, ale od paru dni dopiero…
https://www.drupal.org/SA-CORE-2014-004
100% zużycia procesora bodajże tylko na Apache w trybie prefork (nie mam pewności co do trybu worker i nie wiem jak na mniej popularnych serwerach www). Ngix pluje 502 i FPM się dławi, ale zużycie CPU nie szaleje. To zaś oznacza, że można łatwiej odeprzeć atak. Przy 100% z Apache może się okazać, że się nawet nie wbijemy na maszynę po SSH. Miałem okazję odeprzeć dwa takie ataki. jeden z Hetznera (poszło lekko), a drugi z Amazon – tu było nieco więcej ruchu.
1) Wyłączyć XML-RPC w WP (są gotowe pluginy)
2) Odciąć atakujący IP na IPTables (lub równoważne)
3) Jeśli można, to odciąć na poziomie infrastruktury (sprzętowy/wirtualny FW)
Dziękuję i zaktualizuje :)
A Niebezpiecznik nie boi się że ktoś to wykorzysta przeciw niemu? ;D
By the way inna metoda ataku przez XMLRPC
http://www.incapsula.com/blog/wordpress-security-alert-pingback-ddos.html
Niebezpiecznik zaktualizowany (mamy nadzieję ;-)
XMLRPC powinien być domyślnie wyłączony
ja jestem zwolennikiem rozwiązań skrojonych na miarę, a jak jakiś gotowy klocek do niego stosuję to tak, aby nie pluł swoją wersją, ani najlepiej aby nie dawał się rozpoznać przez użytkownika
wtedy script kiddies nie mają najmniejszych szans, a i ataki skierowane wcale nie są proste
Przy okazji – jakieś dzieciaki robią masowe deface randomowych stron, zapewne korzystając z jakiejś znanej podatności, ale nie wiem jaki jest wektor ataku
http://www.starstv.eu
https://www.facebook.com/MonstersDefacers
Większość stron jest na WordPress od 3.1 do 3.9.2, ale logowanie jest bez żadnej ochrony przeciwko bruteforce.. W takim razie albo jakiś bot która szuka łatwych haseł, albo każda ma ten sam dziurawy plugin?:)
Uzupełnienie – wektor ataku to najprawdopodobniej dwie wtyczki: Slider Revolution Responsive i MailPoet Newsletters. Zainteresowani mogą znaleźć szczegóły w sieci.
Co robić, jak żyć? Jeśli nie ma poprawki na SRR to trzeba chyba chwilowo wywalić (nie wiem czy jest, to płatny plugin), a w przypadku MPN to błąd był poprawiony tego samego dnia po upublicznieniu (w lipcu), więc kto ma starą wersję popełnia grzech ciężki i będzie się smażył w piekle IT.
Installatron i po problemie. :)
Niebezpiecznik nie doczytał strony do której linkuje? Polecenie “Warto zaktualizować” jest niewłaściwe, bo najnowsza wersja WP tez jest przecież podatna.