Pesquisadores do Sucuri Labs descobriram nesta semana um ataque de negação de serviço (DDoS) baseado em uma rede com mais de 162 mil sites em WordPress. A investida foi direcionada a uma página não revelada, que ficou fora do ar por horas graças às centenas de solicitações geradas por segundo pelo golpe de layer 7 (baseado em HTTP).
O volume de dados não chegou perto do que saiu dos maiores ataques DDoS, mas há um ponto surpreendente nesse caso em especial: praticamente todos os sites usados pela rede eram – e ainda são – tidos como confiáveis e até mesmo populares pela internet. No entanto, todos eles foram “enganados”, de certa forma, por um tipo relativamente novo de golpe, descrito pelos pesquisadores nesse post no blog da empresa.
O ataque é baseado em pedidos ao arquivo XML-RPC de cada um dos sites que faz parte da rede. O item, que fica ativo por padrão em qualquer página em WordPress, é responsável não só pelo recurso de ping back dos sites, como também pelo de track back e de acesso remoto, segundo a Sucuri.
As solicitações são geradas pelos crackers de forma a parecer que vêm todas do site que desejam derrubar. Dessa forma, as respostas são todas direcionadas para a página, gerando um volume de dados similar ao de milhares de visitantes a acessando ao mesmo tempo. Como esse total supera o suportado pela página, ela sai do ar.
A prática representa um enorme risco em potencial, segundo o CTO da empresa de segurança Daniel Cid. “Um atacante pode usar milhares de sites WordPress populares e limpos para promover o ataque DDoS, enquanto fica escondido nas sombras”, escreveu o executivo no blog. “E tudo acontece com uma simples solicitação de ping back ao arquivo XML-RPC.”
Os pesquisadores da Sucuri Labs desenvolveram uma ferramenta para você descobrir se seu site em WordPress está sendo usado em alguma botnet do tipo. Basta digitar o endereço no campo e apertar o “Check Site”. Caso a página esteja envolvida em uma rede do tipo, uma das soluções é simplesmente desligar o recurso de ping back no painel de controle. Outra opção recomendada pela empresa de segurança é criar e utilizar um plugin com o seguinte filtro:
add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
} );
Add-ons populares, como o Better WP Security, também podem ajudar nesses casos, já que permitem gerenciar recursos como o de ping back. Eles também são úteis para prevenir invasões e outros tipos de ataques, então talvez valha a pena investir.
