14. März 2014

DDoS Attacke 162.000 WordPress Seiten missbraucht

,    1 Kommentar

Ein Beitrag von Richard Schwerthalter

Share on Facebook4Tweet about this on Twitter2Share on Google+0Share on LinkedIn0Email this to someone

Wie das IT-Sicherheitsunternehmen Sucuri vor ein paar Tagen auf seinem Blog berichtete, kam es zu einer massiven DDos-Attacke, in die 162.000 WordPress-Installationen involviert waren. Die Angreifer missbrauchten die mangelhaft abgesicherten Websites für ihr Vorhaben. Das Opfer war eine große, bekannte WordPress Seite, dessen Name aber nicht bekannt gemacht wurde. Aber was ist überhaupt eine DDos-Attacke und wie schütze ich mich davor?

wordpress ddos attacke

DDoS Attacke auf WordPress Seite © sibgat – Shutterstock.com

Was ist passiert?

Sucuri, ein spezialisiertes IT-Security Unternehmen berichtete vergangenen Montag von einer koordinierten DDoS-Attacke auf eine große, populäre WordPress-Seite, die sie durch eine Einsicht in die Log-Dateien feststellten. In Folge dessen war die Zielseite des Angriffs über mehrere Stunden nicht erreichbar. Eine unbekannte Anzahl an Angreifern bediente sich dafür an 162.000 WordPress-Installationen, um die DDoS-Attacke durchzuführen. Diese Zahl hätte noch weitaus größer ausfallen können, wären weitere Zugriffe nicht durch Sucuri mit Hilfe einer Firewall gestoppt worden. Möglich war die Attacke durch eine bekannte, nach wie vor vorhandene Schwachstelle von WordPress, dem XML-RPC-Protokoll, das bei WordPress unter anderem für Pingbacks, Trackbacks und mobile Fernzugriffe verantwortlich ist. Die standardmäßige Einstellung von WordPress ist hier nicht ausreichend abgesichert und ermöglichte so einen Zugriff auf die große Anzahl an WordPress-Seiten, die wahrscheinlich gar nichts davon mitbekamen. Im Detail wurden hunderte Anfragen pro Sekunde an die betroffenen Server geschickt.

 Der folgende Pingbackbefehl an die XML-RPC Datei ermöglichte die Zugriffe:

$ curl -D –  „www.anywordpresssite.com/xmlrpc.php“ -d ‚<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://victim.com</string></value></param><param><value><string>www.anywordpresssite.com/postchosen</string></value></param></params></methodCall>‘

Durch eine Ergänzung der einzelnen Queries mit einem zufälligen Wert wurde der Cache erfolgreich umgangen und führte jedes Mal zu einem Laden der kompletten Website. Letztendlich führte das zum Crash der Zielseite des Angriffs. Um welche Domain es sich dabei handelt, wollte das Unternehmen nicht verraten.

Was ist eine DDoS-Attacke?

Die Abkürzung DDoS steht für „Distributed Denial of Service“ und bedeutet so viel wie „Verweigerung des Dienstes“. Ein solcher Angriff hat die Absicht, die Verfügbarkeit einer Zielseite außer Kraft zu setzen, aufgrund von starker Überlastung. Der Angriff erfolgt im Unterschied zu einer DoS-Attacke von mehreren verschiedenen Rechnern aus. Typische Ziele sind hierbei Webserver, DNS-Server, Anwendungsserver, Router und Firewalls. DDos-Angriffe erfolgen schon seit Jahren, die Anzahl sowie das Ausmaß haben aber in der letzten Zeit stark zugenommen. Für ein Online-Unternehmen, das Opfer eines solchen Angriffs wird, können dadurch erhebliche finanzielle Schäden entstehen. Hintergründe und Auslöser einer solchen Cyber-Attacke sind oft Unzufriedenheit und Protest gegen einen Anbieter.

Wie kann ich meine WordPress Installation schützen (h2)

Um zu verhindern, dass die eigene WordPress Installation für einen solchen Angriff missbraucht wird, muss die Pingback-Funktionalität innerhalb von WordPress deaktiviert werden. Eine weitere Möglichkeit wäre ein spezielles Plugin, welches einen Filter hinzufügt:

add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods[‚pingback.ping‘] );
return $methods;
} );

Ein offizielles WordPress Update, das dieses Problem löst ist wohl nicht so schnell zu erwarten, da die Pingback-Funktion für verschieden Zwecke und Plugins genutzt wird bzw. voraussetzend ist.

Wie seht ihr das Ganze?

Share on Facebook4Tweet about this on Twitter2Share on Google+0Share on LinkedIn0Email this to someone
Richard Schwerthalter

Richard Schwerthalter

Ich arbeite gerne an neuen Projekten, insbesondere der Erstellung und Optimierung von Websites. Mit WordPress arbeite ich schon längere Zeit und habe bereits einige Erfahrungen sammeln können.
Richard Schwerthalter

Letzte Artikel von Richard Schwerthalter (Alle anzeigen)

Du willst up-to-date bleiben?

Trage dich jetzt in unseren kostenlosen Newsletter ein, um stets die aktuellsten Neuigkeiten rund um Wordpress zu erhalten.

Wir geben deine Daten nicht weiter! Wir hassen Spam genauso wie du!

1 Kommentar

Reaktionen auf diesen Beitrag

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.