angriffAlle Programme die von vielen Usern benützt werden, ziehen immer wieder gerne Script-Kiddies an. Leider muss man damit rechnen. Jetzt hat die Sucuri Sicherheitsfirma einen Pingback Angriff auf WordPress Systeme beobachtet. Und zwar wurden dabei mehr als 162’000 Blogs lahmgelegt.

Jeder Blog hat eine Pingbackfunktion, das ist eine Art Webseite-Webseit Kommunikation. Sie informiert andere Seiten darüber, dass ein neuer Beitrag/ Link gemacht wurde.

Die Attacke funktioniert so, dass ein Angreifer sich ein legitimes Blog sucht, das Pingbacks eingeschaltet hat (momentan die Grundeinstellung bei neuen WordPress-Installationen) und diesem dann ein Pingback von der Seite des Opfers vorgaukelt. Das legitime Blog fragt dann beim Opfer nach dem Post, der in dem gefälschten Pingback angegeben war. Wenn der Angreifer dies mit vielen verschiedenen Seiten macht, ist die Traffic-Flut für die Zielseite schwer zu blocken, da die Anfragen durchaus legitim aussehen und von vertrauenswürdigen Quellen kommen.

Bei dem von Sucuri beobachteten Angriff waren bei den falschen Pingbacks zufällig generierte URLs für die angeblichen Posts beim Opfer angegeben. Das führt dazu, dass der Caching-Mechanismus von WordPress nicht greift und der Webserver dadurch um so mehr belastet wird, da dieser bei jeder Anfrage die Datenbank bemühen muss, um die vermeintlichen Posts auszuliefern. In Wirklichkeit erzeugt der Server natürlich immer nur 404-Fehler, da es für die zufälligen URLs keine Seiten gibt. Kommen viele Anfragen, genügt das allerdings, um die Datenbank der WordPress-Installation lahmzulegen.

Nun sollte man sich eventuelle Überlegen, ob man die Pingback nicht deaktivieren sollte, immerhin ist diese Funktion bei allen WP standardmässig aktiv. Wenigstens für die nächste Zeit, wäre das eine Idee.

Ich persönlich mache es jedenfall nicht, sollte ich aber so ein Angriff auf einen meiner Blogs registrieren, werde ich folgenden htaccess Befehl einbauen und somit die Pingbackfunktion für einige Zeit deaktivieren.

Einfach diese Zeilen in euer .htaccess File hinzufügen und schon werden alle Zugriffe auf dieses Script geblockt.

1
2
3
4
< Files xmlrpc. php >
  Order Deny,Allow
  Deny from all
< / Files >




-