文武双全遭遇一起利用wordpress的pingback漏洞发起的DDOS攻击

Posted by

好久没有被攻击了,我还在想这个月运气这么好啊。差不多一个月没有被人攻击了,还真有点不习惯。自从文武双全的小网站有点小成绩以后,被人DDOS和CC攻击就成了家常便饭。更准确的说就像来大姨妈,每个月都会有那么几天被人干死。2015年8月14日下午7点10分,文武双全还在公司加班,突然收到了监控宝的报警邮件。我心里一戈登,这个月的大姨妈来迟了啊。幸运的是,虽然大姨妈来迟了,但是文武双全发现得早。在老天爷保佑下,成功处理了这一起利用wordpress的pingback漏洞发起的DDOS攻击。下面跟大家分享下,解决这次DDOS攻击的全过程。

第一步:登录服务器查看服务器的状态

幸运的是我当时正在服务器上,马上使用linux的top命令查看系统负载,发现系统负载已经到5以上了。幸运的是,这个时候服务器还能连上,但是已经出现了很明显的卡顿。平时服务器最多使用3个php-fpm进程,现在4个进程全部高负载运行,nginx和php-fpm占用的内存都快吓死本宝宝了。 再使用free -m一看内容占用,平时只使用大概300多M的内存,全部曝掉了。2GB的Swap内存已经跑了700多M了,这就是系统负载那么高的原因,磁盘IO亚历山大啊。

明显感觉到是被人DDOS或者CC了,立刻使用命令关掉了nginx,服务器瞬间变成流畅无比。

第二步:下载并检查网站日志

立刻下载网站的访问日志和错误日志,打开访问日志一看,“呦西,果然被人攻击了”。日志截图如下,

2015年8月14日文武双全个人网站被DDOS攻击的日志
2015年8月14日文武双全个人网站被DDOS攻击的日志

日志把攻击者的特征记录的很明显,使用了翻墙到美国DataShack的服务器,然后发动了针对文武双全个人网站的DDOS攻击。让文武双全干感觉到意外的是,日志里竟然出现了非常奇怪的特征。大量的出现“wordpress”、“verifying pingback from”这样的日样,为文武双全寻找攻击的原因提供了最重要的信息。

第三步,搜索特征码查找攻击方式和解决方法

哈哈,这一次度娘给力了。使用百度搜索关键词“verifying pingbanck”,果然搜索到类似的攻击。搞笑的是我国台湾省的某地方政府网站,竟然也使用wordpress,而且也遇到了同样的攻击方式。如下图所示,

我国台湾省某地方政府网站也曾遭受过类似的ddos攻击
我国台湾省某地方政府网站也曾遭受过类似的ddos攻击

一看此文,文武双全就知道了,原来黑客是利用了wordpress自身的pingback漏洞。百度再次检索pingback是啥玩意,看了说明才恍然大悟。这次被攻击,原来是因为昨天文武双全开启了wordpress的pingback的功能所导致的。

第四步,解析wordpress的pingback漏洞并成功处理漏洞

如下图所示,所谓pingback漏洞实际上并不能算一个漏洞,他只是wordpress后台后台的一个功能而已。在wordpress后台的,设置–>讨论–> 栏目里。

wordpress的pingback和trackback功能
wordpress的pingback和trackback功能

这个功能就是在其他的wordpress博客引用文武双全个人网站的文章时,会想文武双全个人网站发送一个通知,就是所谓的pingback。很显然这个pingback和trackback一样,只是wordpress定义的一个函数。选择接受,相当于把函数变成了公共函数,外部可以访问。不接受,则意味着函数变成了私有函数,外部不能访问。

一旦开放,则意味着黑客可以访问这个公共函数。于是就可以通过代理服务器公共函数的访问地址,发动DDOS攻击了。当然,文武双全还没有看过pingback和trackback的源代码,以上内容纯属猜想,哈哈。仅凭着猜想,我还是做出了决定,把pingback功能取消。

对方的服务器在美国,我偷偷开启了nginx,应该会有一段时间的缓冲器,服务器才会彻底死掉。于是我偷偷打开了nginx,然后发现网站可以访问。立即登陆wordpress的后台,关掉了pingback的功能。立即去查看系统的负载,果然在慢慢降低。free -m命令查看内存,果然都释放掉了,网站前台打开的速度也恢复正常了。难道就这样不到一个小时就解决了,我自己都有点不太相信。

第五步,攻击者的代理服务器丢包严重

这算是本次事故的一个彩蛋吧,闲着没事文武双全ping了一下攻击者的服务器ip地址:192.187.118.162。发现丢包那是相当的严重啊,哎都是江浙沪电信限外网导致的。连黑客都受影响了,不然文武双全很有可能无法远程登录到服务器上去,哈哈。

黑客ddos攻击所使用的美国服务器丢包严重
黑客ddos攻击所使用的美国服务器丢包严重

高达37%的丢包,真是晕死了啊。这延迟还是蛮低的,比一般的美国服务器250ms的速度要快不少哈。要是以后稳定了,文武双全也想搞一台呢。

3 comments

  1. 搞不懂盯着你这个小网站攻击什么目的?毫无意义啊,难道只是新手黑客拿来练手么?

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据