zodra het bovenstaande verzoek is verzonden, krijgt de host van het slachtoffer (115.97.xxx.67
tunneling via ngrok) een vermelding in zijn logbestand met een verzoek afkomstig van het WordPress domein dat de ping-back verifieert. Die kan worden gezien in de bovenstaande screenshot.
Impact
dit kan worden geautomatiseerd vanaf meerdere hosts en worden gebruikt om een massale DDoS-aanval op het slachtoffer te veroorzaken. Deze methode wordt ook gebruikt voor brute kracht aanvallen op het stelen van de admin geloofsbrieven en andere belangrijke referenties.
Plus, er liggen veel POC ‘ s rond het web met betrekking tot de kwetsbaarheden geassocieerd met XMLRPC.php
in wordpress websites, sommige van deze zijn:
https://www.rapid7.com/db/modules/exploit/unix/webapp/php_xmlrpc_eval
hoe WordPress XML-RPC
uit te schakelen U kunt XML-RPC uitschakelen met behulp van het .htaccess
bestand of een plugin. .htaccess
is een configuratiebestand dat u kunt aanmaken en wijzigen.
plak gewoon de volgende code in uw .htaccess
bestand gevonden in public_html
map :
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
dit moet XML-RPC op uw WordPress site uitschakelen.
het is de moeite waard om hier te vermelden dat Plugins zoals Remove XML-RPC Pingback ping plugin kunt u alleen de pingback functie van uw site uit te schakelen. U hoeft XML-RPC niet volledig uit te schakelen.
omdat veel populaire apps en plugins XML-RPC gebruiken om een aantal van hun eigen functies uit te voeren. In dat geval kunt u overwegen om alleen bepaalde delen van de XML-RPC in te schakelen die u nodig hebt om uw plug-ins goed te laten draaien.
blogpost geschreven door Eshaan Bansal.