互创青年
解决WordPress网站利用xmlrpc.php文件攻击问题

解决WordPress网站利用xmlrpc.php文件攻击问题

近几天wordpress社区的小伙伴们反映遭到了使用破解” title=”\”>xmlrpc.php进行暴力破解的攻击。使用xmlrpc.php提供的接口测验猜解用户的密码,能够绕过wordpress对暴力破解的约束。现已发现了大规模的使用,启用了xmlrpc的同学需求尽快修正。

这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php.

解决WordPress网站利用xmlrpc.php文件攻击问题 - 互创设计 - 1

 

 

 

 

 

其中username字段是预先收集的用户名。password是尝试的密码。对于getUsersBlogs接口的更多信息可以参阅官方的指南。假如密码准确,回来为:密码错误返回为403:使用intruder进行测试,发现服务端没有进行限制。

可是一般来说,直接用wordpress的孩纸们,要这个接口又有什么卵用,好像是没有~除非你用WordPress客户端!

一个最直接的方法,修正or删掉xmlrpc.php文件,让他不存在,国际就安静了!

提示404过错,对方应该就不会继续太久了,要是用过滤器的话,对方可不知道!还是会继续的,导致变相DDOS攻击开始了!

最终科普一下wordpress密码暴力猜想的源码 (多线程)放到VPS上运转就够了(一起还可以到达DDOS的作用)

 

 

赞 (0)
上一篇:     下一篇:
码字很辛苦,转载请注明来自互创设计《解决WordPress网站利用xmlrpc.php文件攻击问题》

评论