gdy tylko powyższe żądanie zostanie wysłane, host ofiary (115.97.xxx.67tuneluje przez ngrok) otrzymuje wpis w swoim pliku dziennika z żądaniem pochodzącym z domeny WordPress weryfikującym ping-back. Co widać na powyższym zrzucie ekranu.
Impact
może to być zautomatyzowane z wielu hostów i być użyte do wywołania masowego ataku DDoS na ofiarę. Ta metoda jest również używana do ataków brute force w celu kradzieży poświadczeń administratora i innych ważnych poświadczeń.
Plus, istnieje wiele POC leżących w sieci dotyczące luk związanych z XMLRPC.php w witrynach wordpress, niektóre z nich są:
https://www.rapid7.com/db/modules/exploit/unix/webapp/php_xmlrpc_eval
Jak wyłączyć WordPress XML-RPC
możesz wyłączyć XML-RPC za pomocą pliku .htaccess lub wtyczki. .htaccess to plik konfiguracyjny, który można tworzyć i modyfikować.
po prostu wklej następujący kod w pliku .htaccess znalezionym w folderze public_html :
# Block WordPress xmlrpc.php requests<Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>
powinno to wyłączyć XML-RPC w Twojej witrynie WordPress.
warto tutaj wspomnieć, że wtyczki takie jak Remove XML-RPC Pingback ping plugin umożliwiają wyłączenie funkcji pingback witryny. Nie musisz całkowicie wyłączać XML-RPC.
ponieważ wiele popularnych aplikacji i wtyczek używa XML-RPC do wykonywania niektórych własnych funkcji. W takim przypadku możesz rozważyć włączenie tylko niektórych części XML-RPC, które są potrzebne do prawidłowego uruchamiania wtyczek.
wpis na blogu napisany przez Eshaan Bansal.
