Mais de 160 mil sites em WordPress são usados em ataques DDoS

Pesquisadores do Sucuri Labs descobriram nesta semana um ataque de negação de serviço (DDoS) baseado em uma rede com mais de 162 mil sites em WordPress. A investida foi direcionada a uma página não revelada, que ficou fora do ar por horas graças às centenas de solicitações geradas por segundo pelo golpe de layer 7 (baseado em HTTP).

O volume de dados não chegou perto do que saiu dos maiores ataques DDoS, mas há um ponto surpreendente nesse caso em especial: praticamente todos os sites usados pela rede eram – e ainda são – tidos como confiáveis e até mesmo populares pela internet. No entanto, todos eles foram “enganados”, de certa forma, por um tipo relativamente novo de golpe, descrito pelos pesquisadores nesse post no blog da empresa.
 
O ataque é baseado em pedidos ao arquivo XML-RPC de cada um dos sites que faz parte da rede. O item, que fica ativo por padrão em qualquer página em WordPress, é responsável não só pelo recurso de ping back dos sites, como também pelo de track back e de acesso remoto, segundo a Sucuri.
 
As solicitações são geradas pelos crackers de forma a parecer que vêm todas do site que desejam derrubar. Dessa forma, as respostas são todas direcionadas para a página, gerando um volume de dados similar ao de milhares de visitantes a acessando ao mesmo tempo. Como esse total supera o suportado pela página, ela sai do ar.
 
A prática representa um enorme risco em potencial, segundo o CTO da empresa de segurança Daniel Cid. “Um atacante pode usar milhares de sites WordPress populares e limpos para promover o ataque DDoS, enquanto fica escondido nas sombras”, escreveu o executivo no blog. “E tudo acontece com uma simples solicitação de ping back ao arquivo XML-RPC.”
 
Os pesquisadores da Sucuri Labs desenvolveram uma ferramenta para você descobrir se seu site em WordPress está sendo usado em alguma botnet do tipo. Basta digitar o endereço no campo e apertar o “Check Site”. Caso a página esteja envolvida em uma rede do tipo, uma das soluções é simplesmente desligar o recurso de ping back no painel de controle. Outra opção recomendada pela empresa de segurança é criar e utilizar um plugin com o seguinte filtro:
 
add_filter( ‘xmlrpc_methods’, function( $methods ) {
 
   unset( $methods['pingback.ping'] );
 
   return $methods;
 
} );
 
Add-ons populares, como o Better WP Security, também podem ajudar nesses casos, já que permitem gerenciar recursos como o de ping back. Eles também são úteis para prevenir invasões e outros tipos de ataques, então talvez valha a pena investir. 
 
Fonte: Info Abril