Oramai è un attacco ben noto, uno dei primi se non il primo ad usare la tecnica reflection. L’attacco DDos Pingback sfrutta una falla nel più famoso CMS in circolazione, WordPress. L’intento del Pingback è notificare ad un altro blog o sito la presenza di una citazione nel nostro articolo.
WordPress implementa nel suo sistema delle API per la gestione delle funzioni XML-RPC. Proprio queste funzioni si occupano dell’invio della richiesta di pingback. La richiesta viene effettuata attraverso una POST request verso /xmlrpc.php.
La richiesta è composta da:
<methodcall> <methodname>pingback.ping</methodname> <params> <param /><value><string>http://victim</string></value> <param /><value><string>http://reflector</string></value> </params> </methodcall> |
Per prevenire il caching si aggiunge all’URL della vittima un parametro random come “victim.com?123456=123456”. Il risultato di questa richiesta è che si effettuerà una richiesta verso il “reflector” il quale risponderà alla “vittima”. Utilizzando questo sistema in modo distribuito si avrà un attacco denial of service.
Questo sistema non ha la stessa efficienza di un attacco Reflection NTP o DNS, ma soprattutto la sorgente dell’attacco potrebbe essere rivelata facilmente.
Per default questa funzionalità è abilitata in ogni installazione WordPress e per un utente inesperto non è molto facile disattivarla. Uno dei modi per farlo è aggiungere questo filtro nel file functions.php
add_filter( ‘xmlrpc_methods’, function( $methods ) { unset( $methods['pingback.ping'] ); return $methods; } ); |
Rimuovere il file xmlrpc.php non è un metodo raccomandato perché potrebbe ricadere su qualche altra funzionalità utilizzata dalle API XML-RPC.
Per verificare se il vostro WordPress è stato utilizzato per effettuare attacchi verso terzi. Utilizzate questo tool online.
MNZ2NT2CREWF
Comments by Fabio Natalucci
Postfix: come configurare smtp esterno
Perfetto! Sono contento che ti sia stata utile.