Поддержка Проблемы и решения xmlrpc system.multicall brute force

  • РешеноМодератор Yui

    (@fierevere)


    ゆい

    всем мяу )

    собираются ли в новых версиях wordpress заблокировать system.multicall по умолчанию или блокировка останется на усмотрение администраторов сайтов ?

    — FAQ и почему я собственно задаю этот вопрос —

    источник: https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html

    по русски от Касперского: https://threatpost.ru/tikhij_brutfors_wordpress_s_usileniem/12656/

    xmlrpc позволяет 1 запросом делать попытку перебора десятков паролей за раз, усугубляется тем, что брютфорсят WP в сети постоянно и активно, а тут новый метод и еще такой эффективный,
    скоро тупые боты «слезут» с wp-login.php и начнут тыкать xmlrpc.php

    методы защиты:
    a. плагины — JetPack (protect) , iThemes Security, WordPress Simple Firewall, возможно другие, защита xmlrpc должна быть явно заявлена

    б. заблокировать xmlrpc (может создавать проблемы с плагинами, с тем же Жутьпаком

    .htaccess:

    <files xmlrpc*="">
    order deny,allow
    deny from all
    </files>

    functions.php / wp-config.php

    add_filter('xmlrpc_enabled', '__return_false');

    в. заблокировать system.multicall
    рекомендуют такое functions.php:

    function mmx_remove_xmlrpc_methods( $methods ) {
        unset( $methods['system.multicall'] );
        unset( $methods['system.listMethods'] );
        unset( $methods['system.getCapabilities'] );
    return $methods;
    }
    add_filter( 'xmlrpc_methods', 'mmx_remove_xmlrpc_methods');

Просмотр 14 ответов — с 1 по 14 (всего 14)
  • Модератор Yui

    (@fierevere)

    ゆい

    для совсем ленивых, вариант в. обернула как плагин
    https://funpanda.ru/wp-content/uploads/2015/10/xmlrpc-blockmulticall.zip

    но все же интересно что сделают с этим в последующих обновлениях wp

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    собираются ли в новых версиях wordpress заблокировать system.multicall по умолчанию или блокировка останется на усмотрение администраторов сайтов ?

    Полностью заблокировать — вряд ли, но какую-то защиту в 4.4, возможно, добавят (сейчас обсуждаются варианты).

    Модератор Yui

    (@fierevere)

    ゆい

    спасибо, Сергей,
    обсуждение, я так понимаю, не публичное? ни trac ни make ничего релевантного не находят

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    Появился публичный тикет: https://core.trac.wordpress.org/ticket/34336.

    Модератор Yui

    (@fierevere)

    ゆい

    открыто 4 минуты назад 😀

    хорошо, будет за чем последить теперь, предложение даже относительно неплохое есть, с патчем )

    Модератор Yui

    (@fierevere)

    ゆい

    * resolution:  fixed =>
     * milestone:  4.4 => 4.3.2

    итак проблему обещают закрыть в 4.3.2
    если первая попытка аутентификации провалена , то дальше перебирать пароль в этом запросе не будет
    т.е. 1 запрос — 1 попытка, а не сотня.

    Модератор Yui

    (@fierevere)

    ゆい

    ну вот уже и боты в дикой природе появились, с брютом по xmlrpc.php

    боты агрессивные и злобные, так что скоро грядет очередная волна проблем со стороны хостеров с блокировками и взломами.
    Ну блокировки тут конечно меньше вреда принесут нежели блокировка браузерного входа в админку, просто будут другие проблемы:

    Не работает мобильное приложение wordpress
    Не работает Jetpack
    Не работает pingback/trackback (интересно кто то это заметит?)

    ну вот уже и боты в дикой природе появились, с брютом по xmlrpc.php

    Ну это уже давно.
    http://searchengines.guru/showthread.php?t=861358
    http://searchengines.guru/showthread.php?t=881099
    http://habrahabr.ru/post/215543/

    У меня только были/есть некоторые сомнения по поводу возможного ддоса через xml-rpc: http://searchengines.guru/showpost.php?p=13679973&postcount=15

    Модератор Yui

    (@fierevere)

    ゆい

    для DDoS сейчас используется все что можно и не-можно ,
    за хаброссылку спасибо, наверное и правда лучше это дело отключать насовсем

    то что давно да, но чтобы достаточно активно и с разных источников пинали одновременно несколько вордпрессов на одном сервере.. это уже наглость
    https://pbs.twimg.com/media/CU5ZLoNWoAAw8Zp.jpg:large
    (ddos навряд ли, входящий трафик в 2 раза превысил исходящий)

    ddos навряд ли, входящий трафик в 2 раза превысил исходящий

    Мощно 🙂
    Но вот по поводу возможности такого «кросс-досса».. досса через чужие сайты (см хабр и последнюю ссылку с сёрча) я вообще как-то сомневаюсь, но мб я ошибаюсь? Такое возможно али нет?

    интересно кто то это заметит?

    Кстати, вроде был недавно вопрос почему не работает моб приложение.

    Модератор Yui

    (@fierevere)

    ゆい

    ну на хабре и описали возможность такого варианта,
    возможно по усилению трафика там и не особенно есть какая то польза атакующему в отличие от DNS/NTP и прочих атак с усилением более чем в 10 раз, но вордпресс медленный и прожорливый и если запрашивать страницы с параметрами обхода кеша — можно создать высокую нагрузку на любой сервер

    xmlrpc на чужих сайтах тут будет работать как маскировка источника, и наверное не более того

    Я конечно понимаю что когда все это делалось изначально, то планировалась удобная возможность для «социализации», блоги ссылаются друг на друга, пингают при упоминании ссылок…
    На деле сайтовладельцев это только смущает и вызывает недоумение — «что за странные такие комментарии?»

    Кстати, вроде был недавно вопрос почему не работает моб приложение.

    было вроде что то, и с Jetpack уже обращались что не подключается, как раз xmlrpc.php было блокировано в .htaccess

    ну на хабре и описали возможность такого варианта,

    Мне на самом деле несколько смешно:

    Всего в течение нескольких часов, более 162.000 обыкновенных WordPress сайтов атаковали их проект.

    Ну какой это ДДОСС.. 5-7 запросов/сек. При том что ВПшный крон ещё должен сработать, что не возможно от всех сайтов одновременно.
    Но при этом организатор, работающий через эти 162.000 сайтов должен быть ой какой мощный. Ну те как бэ не целесообразно.
    Но с другой стороны есть стойкое ощущение, что я что-то упускаю, раз имеют место быть такие события.

    Модератор Yui

    (@fierevere)

    ゆい

    ну DDoS это отдельный аспект,
    в system.multicall опасен брютфорс, тихо, в обход плагинов контроля (limit login attempts например не ловит это) и сразу по 100 переборов за запрос…

Просмотр 14 ответов — с 1 по 14 (всего 14)
  • Тема «xmlrpc system.multicall brute force» закрыта для новых ответов.