it-swarm.com.de

wp.getUsersBlogs XMLRPC Brute Force Attack/Vulnerability

Nach dem Ferienwochenende hatte eine der größeren Websites, die ich verwalte, einen Brute-Force-Angriff. Der Angreifer hat versucht, die Funktion wp.getUsersBlogs und eine Liste der gängigen Benutzernamen und Kennwörter zu verwenden. Eine kurze Recherche zeigt mir, dass diese Funktion nach einem erfolgreichen Versuch zurückgibt, ob der Benutzer ein Administrator ist oder nicht.

Ich verwende das IP-Blacklist-Cloud-Plugin als Teil meiner Sicherheit, damit es den Angriff protokolliert. Da diese Angriffsmethode jedoch nicht die normale Anmeldemethode verwendet, findet kein tatsächliches Blacklisting statt. Was ohnehin nicht helfen dürfte, da der Angreifer nach jedem einzelnen Versuch eine neue IP verwendet hat (insgesamt über 15.000 IPs) (20.000+ für einen zweiten Angriff).

Ich habe ein Plugin gefunden, das die XML-RPC (API) vollständig deaktiviert, bin mir aber nicht sicher, ob dies andere Probleme verursachen wird. Dies ist eine Live-Website für eine lokale Gemeinde, daher kann ich es mir nicht leisten, viel zu experimentieren.

hier ist ein Beispiel dafür, was in der IP Blacklist Cloud angemeldet wurde:

"1.0" encoding = "iso-8859-1"?> Wp.getUsersBlogsusernamepassword

Wobei usernamepassword durch etwas aus einer riesigen Liste gängiger Benutzernamen und Passwörter ersetzt wird.

Der Angriff scheint immer beliebter zu werden, daher hoffe ich, dass sich weitere Lösungen ergeben.

Update 20140728:

Eine weitere Website von mir war am Wochenende Opfer dieses Angriffs. Bisher haben mich sichere Passwörter beschützt, aber andere haben vielleicht nicht so viel Glück. Ich versuche die oben erwähnte Lösung, da sie die beste zu sein scheint, die ich bisher gefunden habe.

Links zu mehr Forschung:

API für WordPress XML RPC http://codex.wordpress.org/XML-RPC_WordPress_API

Bisher am wenigsten aufdringliche Lösung http://www.cryptobells.com/more-wordpress-xmlrpc-brute-force-attacks/

WordPress-Support-Forum http://wordpress.org/support/topic/recent-new-xmlrpcphp-brute-force-password-guessing-attack-details

4
KnightHawk

Dies ist die spezifischste Lösung, die ich finden konnte, da sie nur die angegriffene einzelne Funktion deaktiviert.

functions.php:

function Remove_Unneeded_XMLRPC( $methods ) {
    unset( $methods['wp.getUsersBlogs'] );
    return $methods;
}
add_filter( 'xmlrpc_methods', 'Remove_Unneeded_XMLRPC' );

dies finden Sie unter: http://www.cryptobells.com/more-wordpress-xmlrpc-brute-force-attacks/

Für eine umfassendere Lösung gibt es ein WordPress-Plugin namens "Disable XML-RPC", das genau dies tut und die gesamte XML-RPC-Funktionalität deaktiviert.

1
KnightHawk