assim que o pedido acima é enviado, o hospedeiro da vítima (115.97.xxx.67
tunelamento através do ngrok) recebe uma entrada em seu arquivo de log com um pedido proveniente do domínio WordPress verificando o ping-back. Que pode ser visto na imagem acima.
Impact
This can be automated from multiple hosts and be used to cause a mass DDoS attack on the victim. Este método também é usado para ataques de Força bruta para roubar as credenciais da administração e outras credenciais importantes.
Além disso, há um monte de Poc mentindo ao redor da web referentes a vulnerabilidades associadas com XMLRPC.php
no wordpress, sites, alguns destes são:
https://www.rapid7.com/db/modules/exploit/unix/webapp/php_xmlrpc_eval
Como Desativar o WordPress XML-RPC
Você pode desativar o XML-RPC usando o .htaccess
arquivo ou de um plugin. .htaccess
é um ficheiro de configuração que pode criar e modificar.
basta colar o seguinte código no seu ficheiro .htaccess
encontrado na pasta public_html
:
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
isto deve desactivar XML-RPC no seu site WordPress.
vale a pena mencionar aqui que Plugins Como remover o plugin de Pingback XML-RPC permite-lhe apenas desligar a funcionalidade de pingback do seu site. Você não precisa desativar totalmente XML-RPC.
uma vez que muitos aplicativos e plugins populares usam XML-RPC para executar algumas de suas próprias funções. Nesse caso, você pode considerar ativar apenas algumas partes do XML-RPC que você precisa para executar seus plugins corretamente.
post escrito por Eshaan Bansal.