angriffAlle Programme die von vielen Usern benützt werden, ziehen immer wieder gerne Script-Kiddies an. Leider muss man damit rechnen. Jetzt hat die Sucuri Sicherheitsfirma einen Pingback Angriff auf WordPress Systeme beobachtet. Und zwar wurden dabei mehr als 162’000 Blogs lahmgelegt.

Jeder Blog hat eine Pingbackfunktion, das ist eine Art Webseite-Webseit Kommunikation. Sie informiert andere Seiten darüber, dass ein neuer Beitrag/ Link gemacht wurde.

Die Attacke funktioniert so, dass ein Angreifer sich ein legitimes Blog sucht, das Pingbacks eingeschaltet hat (momentan die Grundeinstellung bei neuen WordPress-Installationen) und diesem dann ein Pingback von der Seite des Opfers vorgaukelt. Das legitime Blog fragt dann beim Opfer nach dem Post, der in dem gefälschten Pingback angegeben war. Wenn der Angreifer dies mit vielen verschiedenen Seiten macht, ist die Traffic-Flut für die Zielseite schwer zu blocken, da die Anfragen durchaus legitim aussehen und von vertrauenswürdigen Quellen kommen.

Bei dem von Sucuri beobachteten Angriff waren bei den falschen Pingbacks zufällig generierte URLs für die angeblichen Posts beim Opfer angegeben. Das führt dazu, dass der Caching-Mechanismus von WordPress nicht greift und der Webserver dadurch um so mehr belastet wird, da dieser bei jeder Anfrage die Datenbank bemühen muss, um die vermeintlichen Posts auszuliefern. In Wirklichkeit erzeugt der Server natürlich immer nur 404-Fehler, da es für die zufälligen URLs keine Seiten gibt. Kommen viele Anfragen, genügt das allerdings, um die Datenbank der WordPress-Installation lahmzulegen.

Nun sollte man sich eventuelle Überlegen, ob man die Pingback nicht deaktivieren sollte, immerhin ist diese Funktion bei allen WP standardmässig aktiv. Wenigstens für die nächste Zeit, wäre das eine Idee.

Ich persönlich mache es jedenfall nicht, sollte ich aber so ein Angriff auf einen meiner Blogs registrieren, werde ich folgenden htaccess Befehl einbauen und somit die Pingbackfunktion für einige Zeit deaktivieren.

Einfach diese Zeilen in euer .htaccess File hinzufügen und schon werden alle Zugriffe auf dieses Script geblockt.

1
2
3
4
<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

Über

Eric-Oliver Mächler

Seit 2005 bin ich ein aktiver Blogger. Ich kenne die Kniffe und die Tricks um einen Blog erfolgreich zu machen. Hier gebe ich diese kleinen Tricks gerne weiter und freue mich, wenn ich euch helfen kann. Hier erfährt man mehr über mich.

6 Kommentare

  • Hallo,

    ich habe den Beitrag gerade gelesen, gegen diese Angriffe gibt es doch aber Plugins, die genau dem vorbeugen sollen. Damit könnte das Pingback weiterhin aktiviert bleiben.

    Viele Grüße
    Brigitte

    • Hoi Brigitte, danke für deinen Kommentar.

      Ja es gibt Plugins mit dem man die Trackback Funktion deaktivieren kann. Leider ist das total unnütz – den wie soll ein Plugin wissen, wann eine URL böse und wann sie einen guten Ping schicken? Es gibt keine Möglichkeit. Da IP Tracking nicht wirklich was nützt.

      Darum entweder AN oder AB.

      Ausser du hast natürlich Server-Config zugriff (was aber die wenigsten Blogger haben) dann könntest du die Pingaufrufe limitieren…

  • […] Warum sollte man denn auch Pingbacks erlauben? In Deutschland herrscht unter den Bloggern eh Linkgeiz, da kann ich den Kram eigentlich auch abschalten, oder? Es gibt auch noch eine andere Alternative: Man könnte in der zentralen Konfigurationsdatei, die die Zugriffe regelt, die .htaccess, herumschreiben. Das hat der Chefblogger in seinem Artikel beschrieben. […]

    • Hoi Dirk, danke für deinen Kommentar.
      Zu deiner Frage – ja es gibt auch Plugins mit der man der Spamflut herr werden kann – wie mein Lieblingsplugin Antispam Bee. Damit sollte auch sowas kein Problem mehr sein. Natürlich musst du auch alle Sicherheitslücken in deinem Blog schliessen – sonst nützt so ein Plugin auch nichts 🙂 aber das ist ja wohl klar.

Hinterlass einen Kommentar