文武雙全遭遇一起利用wordpress的pingback漏洞發起的DDOS攻擊

Posted by

好久沒有被攻擊了,我還在想這個月運氣這麼好啊。差不多一個月沒有被人攻擊了,還真有點不習慣。自從文武雙全的小網站有點小成績以後,被人DDOS和CC攻擊就成了家常便飯。更準確的說就像來大姨媽,每個月都會有那麼幾天被人乾死。2015年8月14日下午7點10分,文武雙全還在公司加班,突然收到了監控寶的報警郵件。我心裡一戈登,這個月的大姨媽來遲了啊。幸運的是,雖然大姨媽來遲了,但是文武雙全發現得早。在老天爺保佑下,成功處理了這一起利用wordpress的pingback漏洞發起的DDOS攻擊。下面跟大家分享下,解決這次DDOS攻擊的全過程。

第一步:登錄服務器查看服務器的狀態

幸運的是我當時正在服務器上,馬上使用linux的top命令查看系統負載,發現系統負載已經到5以上了。幸運的是,這個時候服務器還能連上,但是已經出現了很明顯的卡頓。平時服務器最多使用3個php-fpm進程,現在4個進程全部高負載運行,nginx和php-fpm佔用的內存都快嚇死本寶寶了。 再使用free -m一看內容佔用,平時只使用大概300多M的內存,全部曝掉了。2GB的Swap內存已經跑了700多M了,這就是系統負載那麼高的原因,磁盤IO亞歷山大啊。

明顯感覺到是被人DDOS或者CC了,立刻使用命令關掉了nginx,服務器瞬間變成流暢無比。

第二步:下載並檢查網站日誌

立刻下載網站的訪問日誌和錯誤日誌,打開訪問日誌一看,“呦西,果然被人攻擊了”。日誌截圖如下,

2015年8月14日文武雙全個人網站被DDOS攻擊的日誌
2015年8月14日文武雙全個人網站被DDOS攻擊的日誌

日誌把攻擊者的特徵記錄的很明顯,使用了翻牆到美國DataShack的服務器,然後發動了針對文武雙全個人網站的DDOS攻擊。讓文武雙全乾感覺到意外的是,日誌里竟然出現了非常奇怪的特徵。大量的出現“wordpress”、“verifying pingback from”這樣的日樣,為文武雙全尋找攻擊的原因提供了最重要的信息。

第三步,搜索特徵碼查找攻擊方式和解決方法

哈哈,這一次度娘給力了。使用百度搜索關鍵詞“verifying pingbanck”,果然搜索到類似的攻擊。搞笑的是我國台灣省的某地方政府網站,竟然也使用wordpress,而且也遇到了同樣的攻擊方式。如下圖所示,

我國台灣省某地方政府網站也曾遭受過類似的ddos攻擊
我國台灣省某地方政府網站也曾遭受過類似的ddos攻擊

一看此文,文武雙全就知道了,原來黑客是利用了wordpress自身的pingback漏洞。百度再次檢索pingback是啥玩意,看了說明才恍然大悟。這次被攻擊,原來是因為昨天文武雙全開啟了wordpress的pingback的功能所導致的。

第四步,解析wordpress的pingback漏洞並成功處理漏洞

如下圖所示,所謂pingback漏洞實際上並不能算一個漏洞,他只是wordpress後台後台的一個功能而已。在wordpress後台的,設置–>討論–> 欄目里。

wordpress的pingback和trackback功能
wordpress的pingback和trackback功能

這個功能就是在其他的wordpress博客引用文武雙全個人網站的文章時,會想文武雙全個人網站發送一個通知,就是所謂的pingback。很顯然這個pingback和trackback一樣,只是wordpress定義的一個函數。選擇接受,相當於把函數變成了公共函數,外部可以訪問。不接受,則意味着函數變成了私有函數,外部不能訪問。

一旦開放,則意味着黑客可以訪問這個公共函數。於是就可以通過代理服務器公共函數的訪問地址,發動DDOS攻擊了。當然,文武雙全還沒有看過pingback和trackback的源代碼,以上內容純屬猜想,哈哈。僅憑着猜想,我還是做出了決定,把pingback功能取消。

對方的服務器在美國,我偷偷開啟了nginx,應該會有一段時間的緩衝器,服務器才會徹底死掉。於是我偷偷打開了nginx,然後發現網站可以訪問。立即登陸wordpress的後台,關掉了pingback的功能。立即去查看系統的負載,果然在慢慢降低。free -m命令查看內存,果然都釋放掉了,網站前台打開的速度也恢復正常了。難道就這樣不到一個小時就解決了,我自己都有點不太相信。

第五步,攻擊者的代理服務器丟包嚴重

這算是本次事故的一個彩蛋吧,閑着沒事文武雙全ping了一下攻擊者的服務器ip地址:192.187.118.162。發現丟包那是相當的嚴重啊,哎都是江浙滬電信限外網導致的。連黑客都受影響了,不然文武雙全很有可能無法遠程登錄到服務器上去,哈哈。

黑客ddos攻擊所使用的美國服務器丟包嚴重
黑客ddos攻擊所使用的美國服務器丟包嚴重

高達37%的丟包,真是暈死了啊。這延遲還是蠻低的,比一般的美國服務器250ms的速度要快不少哈。要是以後穩定了,文武雙全也想搞一台呢。

3 comments

  1. 搞不懂盯着你這個小網站攻擊什麼目的?毫無意義啊,難道只是新手黑客拿來練手么?

Leave a Reply

郵箱地址不會被公開。 必填項已用*標註

此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據