Исследователи из Sucuri зафиксировали новую серию DDoS-атак прикладного уровня с WordPress-сайтов, на которых активирован вызов удаленных процедур по протоколу XML-RPC. Согласно статистике компании, за два года число таких инцидентов заметно убавилось, однако на их долю все еще приходится около 13% всех DDoS, наблюдаемых по ее клиентской базе.

В ходе одной из атак с использованием пингбэка (этот механизм WordPress включен по умолчанию) эксперты насчитали 26 тыс. сайтов, совокупно генерирующих 10–11 тыс. HTTPS-запросов в секунду. Этот плотный мусорный поток был направлен против одного из клиентов Sucuri, временами вздуваясь почти до 20 тыс. запросов в секунду.

DDoS уровня 7 (приложений) обычно нацелены на истощение ресурсов, и такой интенсивный трафик, по свидетельству Sucuri, способен выдержать далеко не каждый сервер, даже если он использует прокси и балансировщик нагрузки. Проблему в данном случае усугубил тот факт, что запросы подавались по HTTPS, а не HTTP, увеличивая загрузку ЦП в ходе установления связи по протоколу SSL.

Как оказалось, большинство WordPress-сайтов, задействованных в данной атаке, размещены на серверах крупнейших поставщиков облачных и хостинговых услуг: Amazon (19%), DigitalOcean (14%), Google, OVH, Linode, Microsoft, Hetzner. Для управления всей этой армией атакующий использовал разные IP-адреса блока 185.130.5.0/24.

Первую DDoS с использованием пингбэк-функции WordPress компания Sucuri зафиксировала в марте 2014 года. Это был многочасовой HTTP flood, исходивший со 162 тыс. сайтов — невольных пособников дидосеров. При таком количестве источников запросов обычные меры противодействия вроде замедления трафика для отдельных IP теряют всякий смысл.

Поскольку пингбэк — дефолтная опция, а не дефект, разработчики WordPress не стали выпускать патч, а добавили в версиях 3.9 и выше возможность регистрировать IP-адреса источников обращений к файлу xmlrpc.php. Статистика Sucuri показывает, что эта мера оказалась действенной, хотя злоупотребление пингбэком в интересах DDoS все еще актуально.

К сожалению, администраторы сайтов редко заглядывают в логи и порой даже не подозревают, что их сайт атакует собратьев. Эксперты рекомендуют не пренебрегать предоставленной WordPress возможностью, а также отключить пингбэк-функцию, если она не нужна. Это не защитит сайт от DDoS, но избавит его от участия в таких атаках. Если нельзя обойтись без XML-RPC, Sucuri советует привнести небольшие изменения в файл .htaccess, с тем чтобы ограничить доступ для IP белым списком (соответствующую статистику может предоставить, к примеру, плагин JetPack). Можно также создать собственный плагин, автоматически применяющий такой фильтр.

Категории: DoS-атаки