Ataque ddos en wordpres mediante archivo xmlrpc.php

Seguridad servidores / ,

El archivo utilizado para realizar éste ataque de denegación de servicio es el archivo /xmlrpc.php.
El ataque consiste en realizar miles de peticiones POST, para verlo, podremos dar un vistazo en el archivo logs de nuestra web :

185.9.157.20 – – [01/Dec/2015:23:59:59 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.7 – – [01/Dec/2015:23:59:59 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.15 – – [01/Dec/2015:23:59:59 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.15 – – [02/Dec/2015:00:00:00 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.15 – – [02/Dec/2015:00:00:01 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.20 – – [02/Dec/2015:00:00:01 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»

Y miles de peticiones por Segundo más…

(ataque real ddos realizado a uno de nuestros servers)

Podemos ver la ip del atacante en concreto para saber desde dónde nos atacan:
http://iptool.xyz/185.9.157.7/
Normalmente lo que intentan conseguir es desbordar la cpu de nuestra máquina y hacer caer nuestros servicios. Por eso es importante tener todos nuestros servers monitorizados y poder parar el ataque lo antes posible.

Para mitigar el ataque ddos de denegación de servicio tenemos distintas opciones:

1.- Comentar temporalmente el archivo /xmlrpc.php o renombrarlo.

2.- Desde el administrador de wordpress tenemos la posibilidad de deshabilitar los pingbacks y trackbacks, para ello iremos a ajustes comentarios y deshabilitaremos la opción Permitir notificaciones de enlaces de otros blogs (pingbacks y trackbacks) en los nuevos artículos. Pasado el ataque podremos volver a activarlo.

3.- Bloquear las ips atacantes desde el server.

4.-Bloquear mediante el vhost de nginx o de apache.

Sobretodo tenemos que mantener wordpress actualizado a la última versión y tambien todos los plugins y themes de nuestra web.

Esta web utiliza cookies propias para su correcto funcionamiento. Al hacer clic en el botón Aceptar, aceptas el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad
Abrir chat
¿Podemos ayudarte?