近日,Sucuri的安全研究人員發(fā)現(xiàn),數(shù)萬(wàn)WordPress站點(diǎn)被利用于實(shí)施第7層DDos攻擊。共有26000個(gè)不同的WordPress站點(diǎn)持續(xù)向同一個(gè)網(wǎng)站以每秒10000到11000次的頻率發(fā)送HTTPS請(qǐng)求,最多時(shí)能達(dá)到20000次每秒。更嚴(yán)重是,如果Pingback功能默認(rèn)開(kāi)啟,全球任何一個(gè)WordPress站點(diǎn)都可能被滲透,成為DDos攻擊網(wǎng)絡(luò)的一個(gè)源頭。
HTTP Flood是針對(duì)Web服務(wù)在第七層協(xié)議發(fā)起的大規(guī)模流量攻擊,不僅可以直接導(dǎo)致被攻擊的Web前端響應(yīng)緩慢,還間接攻擊到后端的Java等業(yè)務(wù)層邏輯以及更后端的數(shù)據(jù)庫(kù)服務(wù),增大它們的壓力,甚至對(duì)日志存儲(chǔ)服務(wù)器都帶來(lái)影響。
建議所有基于Wordpress的網(wǎng)站盡快禁用Pingback。雖然無(wú)法保證網(wǎng)站免于遭受攻擊,但會(huì)終止黑客利用您的網(wǎng)站來(lái)攻擊其它目標(biāo)。
最好的做法是,如果你確定不用pingbacks,就和xmlrpc一并關(guān)閉。如果需要使用,可以簡(jiǎn)單修改.htaccess文件,只允許白名單中的IP來(lái)存取文件。流行插件Jetpack也可用于流量監(jiān)控。
WordPress的pingback服務(wù)可被DDoS攻擊利用,這個(gè)漏洞早有披露,但至今仍有大量網(wǎng)站存在此問(wèn)題,原因在于網(wǎng)站所有者很少刻意防止網(wǎng)站被僵尸網(wǎng)絡(luò)捕獲。而由于這種DDoS攻擊中流量來(lái)自數(shù)千個(gè)不同IP,基于網(wǎng)絡(luò)的防火墻也無(wú)法識(shí)別和攔截,只能限制每個(gè)IP地址的訪問(wèn)頻率。
京公網(wǎng)安備 11010502049343號(hào)