Hola, bueno en el siguiente post voy a compartir una experiencia que tuve hace un día mas o menos, y fue en un website que administro (most-security.com) cuando recibí un fuerte Ddos, bueno de primera me puse a mirar logs, netstat en el Vps y mirando incapsula, donde podia
apreciar el ddos que se me estaba realizando, mirando los logs vi algo muy particular y era que todo el ddos estaba dirigido a un solo archivo php, de primera pense que era simple casualidad o al azar, pero me puse a investigar...Archivo xmlrpc:
Claramente vemos el ddos a ese archivo en donde yo cuento con Wordpress para el blog del website,
Siguiendo con la averiguacion me encontre con lo siguiente:
Bueno este archivo es utilizado para Pingback, que permite a cualquier persona iniciar una petición de WordPress a un sitio arbitrario. La funcionalidad se debe utilizar para generar referencias cruzadas entre los blogs, pero puede fácilmente ser utilizado para una sola máquina para originar millones de peticiones de múltiples ubicaciones
Veamos el siguiente la siguiente imagen por incapsula:
Podemos apreciar como funciona este ataque...
Ahora bien, la pregunta del millon seria, como solucionar esto, pues en realidad Wordpress en Julio de 2013 saco una actualizacion del pingback la cual no surgio para nada efecto es mas si ahora mismo te instalas WP con su ultima actualizacion, seguiras siendo victima de estos ataques, para lo cual tengo 3 posibles soluciones
1.- Borra este archivo que en realidad, yo ni lo utilizo
2.- Renombralo si es que lo utilizas con un nombre poco común
3.- Migra tu website a incapsula, incapsula es un maravilloso sitio, lo recomiendo al 100 %, yo antes trabajaba con cloudflare pero ultimamente, hay muchos ataques de ddos que pasan fácilmente la protección de cloud, ademas de tener un waf demasiado malo, pronto estaré posteando algo de incapsula para que lo conozcan a fondo, por mientras les dejo este link para que se informen mas sobre esta vulne:
Saludos !
0 comentarios:
Publicar un comentario