2014년 3월 12일 수요일

[SecurityPlus 보안 공지] Wordpress "Pingback" DDoS 공격 대응 바랍니다.

안녕하세요. SecurityPlus의 박형근입니다.

SecurityPlus Open Threat Group은 금일 보고된 공격의 대응에 있어,
사용자, 기관 및 기업의 참여가 필요한 바 관련 위협 정보를 공유합니다.
하기 내용 보시고, Wordpress를 사용하고 계시다면, 타 웹 사이트에 피해를
주지 않도록 조치 바랍니다.

감사합니다.

* 외부 위협 대응: Wordpress "Pingback" DDoS Attacks

1. 공격 시도: Wordpress Pingback XML-RPC API를 악용하여 악의적인 공격자가 시도하고자 하는 타 공격 대상에 대해 웹 Request 발생

2. 공격 패턴 1: Wordpress Pingback 악용 시도
<methodCall>
<methodName>pingback.ping</methodName>
<params>
<param><value><string>http://victim</string></value></param>
<param><value><string>http://reflector</string></value></param>
</params>
</methodCall>

공격 패턴 2: 공격을 받는 웹 사이트 로그
victim.com?123456=123456 (랜덤 파라미터... ^^A;;;;;;)

74.86.132.186 - - [09/Mar/2014:11:05:27 -0400] "GET /?4137049=6431829 HTTP/1.0" 403 0 "-" "WordPress/3.8; http://www.mtbgearreview.com"
121.127.254.2 - - [09/Mar/2014:11:05:27 -0400] "GET /?4758117=5073922 HTTP/1.0" 403 0 "-" "WordPress/3.4.2; http://www.kschunvmo.com"
217.160.253.21 - - [09/Mar/2014:11:05:27 -0400] "GET /?7190851=6824134 HTTP/1.0" 403 0 "-" "WordPress/3.8.1; http://www.intoxzone.fr"
193.197.34.216 - - [09/Mar/2014:11:05:27 -0400] "GET /?3162504=9747583 HTTP/1.0" 403 0 "-" "WordPress/2.9.2; http://www.verwaltungmodern.de"

3. 대응 방안 1. Wordpress 내에 필터 설정
add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
} );

대응 방안 2. pingback 기능을 사용하지 않는다면, xmlrpc.php 삭제

4. 진단 방안
- 타 사이트 공격 여부 확인
http://labs.sucuri.net/?is-my-wordpress-ddosing

5. 참고문헌
http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html