4 сентября, 2015 - 17:38

В логах кроме всего прочего большое количество подобного:
64.90.47.224 - - [03/Sep/2015:15:20:01 +0400] "GET /?131548YhqJgVehQV4=131548rSxmhQPQrY4 HTTP/1.0" 200 198584 "-" "ВордПрес/4.3; http :// www.*******. com; verifying pingback from 178.136.237.204"
116.255.146.243 - - [03/Sep/2015:15:21:19 +0400] "GET /?131548rc8GlExChU17=131548YVOlUN9Je817 HTTP/1.0" 200 198678 "-" "ВордПрес/4.2.4; http :// www.*******. com; verifying pingback from 178.136.237.204"
74.220.219.131 - - [03/Sep/2015:15:21:10 +0400] "GET /?131548MNYz3zYJwz8=1315484Gp1FejQNc8 HTTP/1.0" 200 198582 "-" "ВордПрес/4.3; http :// ******. com; verifying pingback from 178.136.237.204"

ВордПрес Pingback атака.

По характеристикам это довольно «тяжелая» атака, но для ее проведения достаточно всего 100-200 управляющих узлов, все из которых могут контролироваться с обычного ноутбука или мобильного телефона. Суть атаки заключалась в использовании стандартного функционала ВордПрес — обратного пинга постов (Pingback).

Этот механизм по умолчанию включен на всех ВордПрес-блогах начиная с версии 3.5 и позволяет отправить на произвольный сайт в Интернете один-единственный запрос (с уведомлением о получении исходного сообщения). Как выглядит механизм pingback:

  1. Организатор атаки запускает на управляющих узлах скрипт обхода ВордПрес-сайтов с отправкой зараженных pingback запросов.
  2. Управляющий узел ботнета посылает на один из нормальных (но незащищенных) ВордПрес-сайтов pingback запрос с указанием страницы этого сайта и адреса жертвы (например, главной страницы). Плотность обхода может составлять тысячи запросов в секунду к различным ВордПрес-сайтам.
  3. ВордПрес-сайт обрабатывает запрос и отвечает по указанному адресу (жертвы). Вся «полезная» нагрузка от проведения атаки приходится на отдельный ВордПрес-сайт.
  4. Мультипликация атаки достигается за счет запроса HTML-страницы сайта-жертвы в ответ на небольшой XML-код pingback запроса. Примерно 1 к 20-100: на 1 Мбит/с задействованной полосы управляющего узла жертва отвечает 20-100 Мбит/с полосой данных.

При атаке ВордПрес Pingback DDoS исчерпываются как ресурсы сервера (на установление соединений или обслуживания запросов), так и ресурсы канала (при большом количестве обработанных ответов).

Защита от ВордПрес Pingback DDoS

Эффективная защита состоит из двух частей:

  • Ваш сервер должен уметь обрабатывать несколько (десятков) тысяч запросов в секунду (для отсечения всех вредоносных запросов).
  • Сервер должен блокировать pingback-запросы ВордПрес-сайтов с минимальным размером ответа (для предотвращения исчерпания канала). Блокировка по IP адресу при данном типе атаки не имеет большого смысла: количество запросов с каждого отдельного IP-адреса мало, всего пара запросов в минуту, а размер ботнета может достигать несколько десятков миллионов машин.
  • Что было сделано:
    Добавлены правила в iptables:
    dhcppc6:/ # iptables -I INPUT -s 178.136.237.0/24 -j REJECT
    dhcppc6:/ # iptables -A INPUT -p tcp --dport 80 -m string --string 'ВордПрес' --algo kmp -j DROP
    и другие...
    В конфиг nginx добавлено:
    # ВордПрес Pingback Request Denial
    if ($http_user_agent ~* (ВордПрес|ЧекХост)) {
    return 403;
    }
    Также изменены настройки Апача и nginx.

Метки: