securi揭露,有超过16.2万个无辜的wordpress的网站被当成执行分散式阻断服务攻击(ddos)攻击的傀儡,securi并释出侦测工具以协助wordpress的网站确认是否成为ddos的攻击的帮凶。
securi是在协助某个wordpress网站阻挡ddos攻击时发现这些攻击流量是来自16.2万多个合法且有效的wordpress网站,而且骇客使用非常简单的手法就让这些wordpress网站沦为攻击工具。
根据securi的说明,wordpress有一个可在有人连结或参考wordpress网站时进行回报的pingback功能,pingback使用xmlrpc进行远端程序呼叫,通常一个pingback就是一个xml-rpc请求,当a部落客写了一篇连结到b部落客的文章时,就会从a站传送一个xmlrpc到b站,b站收到通知就会到a站检查连结是否存在。而pingback在任何wordpress网站的预设值都是启用的。
securi技术长daniel cid表示,骇客滥用了pingback功能,利用至少16.2万个wordpress网站来瘫痪目标网站。
以wordpress架站的使用者,若怀疑自己可能沦为ddos帮凶,可以检视网站有否任何xmlrpc档案的post请求,倘若当中含有随机网址的pingback执行,那么网站应该已被滥用。
securi已开发一wordpress -ddosing”>检测工具让wordpress站长扫瞄自己的网站是否被用来攻击其他网站,并建议站长关闭网站的pingback功能。
wordpress及其核心开发团队都已知道此一问题,但最大的挑战在于骇客所利用的是合法的功能,而非平台漏洞,因此也许不会有任何修补措施,但可能会有可分辨流量好坏的配套方案出炉。
wordpress是全球最受欢迎的部落格架站平台,不但是个人部落客架站的第一选择,同时也是全球许多知名新闻网站所采用的架站软体。根据最新数字,目前全球wordpress .com/stats/” target=”_blank”>使用wordpress的网站已有将近7700万个。(编译/陈晓莉)