Chronicles of DDOS: Menangani Serangan XMLRPC dari Bot WordPress

Dua hari yang lalu kami menghadapi kesulitan dengan salah satu situs web klien kami sebagai Nettsted Limited. Kami biasanya tidak memberikan dukungan teknis kepada klien kami, tetapi sayangnya layanan hosting klien kami tidak memberikan dukungan apa pun untuknya. Karena kami merasa bertanggung jawab untuk membantunya, kami memutuskan untuk mengambil tindakan terhadap serangan Botnet . Kami menghadapi perilaku aneh bot selama serangan. Saya akan menyebutkan tentang apa yang terjadi jam demi jam di halaman ini dan tindakan apa yang telah kami lakukan untuk melindungi situs web klien kami.

Awal Serangan DDOS: Penyerang Mengidentifikasi Dirinya Sendiri

Karena saya pemilik Nettsted Limited, saya bekerja 16-18 jam sehari untuk memberikan dukungan kepada klien kami. Kami memiliki klien yang berbeda dari seluruh dunia, jadi saya harus bangun zona waktu yang berbeda. Selama berbulan-bulan kemudian, pertama saya ingin menonton film dan bersenang-senang dengan keluarga saya. Sayangnya ini adalah salah satu hari terburuk dalam karir saya. Setelah film, kami memutuskan untuk beristirahat. Namun hanya hal yang tak terlihat menusuk saya dan mengatakan kepada saya “hei! Anda harus melihat pekerjaan Anda dan kemudian tidur”. Dan ya… Inilah yang terjadi dalam 5 jam ketidakhadiran saya di tempat kerja:

1. Salah satu klien saya telah menghapus plugin SEO, menghapus semua deskripsi dan judul situs web. Dia juga merusak struktur tautan situs web.
2. Klien lain telah menghapus beberapa plugin yang kami instal yang terkait dengan SEO. Mengubah pengaturan cache dan entah bagaimana semua file .js dan .css rusak.
3. Salah satu klien saya mendapatkan serangan DDOS dan dia hanya melihat bagaimana situs webnya runtuh.

Ketika saya bergabung dengan WhatsApp dan Skype, saya telah melihat banyak keluhan selama 5 jam itu. 30% kalimat hanya “Di mana kamu?!”.

Klien saya telah memberi tahu saya bahwa dia mendapat pesan melalui WhatsApp. Penyerang mengidentifikasi dirinya dengan nomor telepon dan memberi tahu klien saya bahwa dia akan menyerangnya. Ini benar-benar terdengar bodoh tapi dia benar-benar melakukannya… Ketika saya kembali bekerja, serangan sudah dimulai.

Hari 1-) Mengambil Tindakan Pertama Melawan Serangan

Ini adalah beberapa log dari serangan yang kami dapatkan:

103.9.156.249 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.1; ; verifying pingback from 93.174.93.163"
199.223.214.148 - - [07/Apr/2019:01:19:03 +0100] "GET / HTTP/1.0" 200 13194 "-" "WordPress/3.3.1; http://www.mentalic.gr"
216.240.176.141 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.0;
104.236.33.158 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.1; http://pmsearchpartners.com; verifying pingback from 93.174.93.163"
149.210.236.96 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/3.9.27; http://imageconsultant.mu/; verifying pingback from 149.210.236.96"
185.87.249.33 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1;
158.69.26.84 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/3.9.2; http://teensystudios.com; verifying pingback from 93.174.93.163"
103.233.76.243 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.26; http://help.worldmart.in; verifying pingback from 93.174.93.163"
203.175.180.254 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.1; http://www.cybertechriskcenter.com; verifying pingback from 93.174.93.163"
199.223.214.148 - - [07/Apr/2019:01:19:03 +0100] "GET / HTTP/1.0" 200 13194 "-" "WordPress/3.3.1; http://www.mentalic.gr"
68.71.60.249 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.26; http://www.itunesalternative.org; verifying pingback from 93.174.93.163"
66.55.132.6 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/3.8.16;
163.172.103.45 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-"


Di log Anda dapat melihat bahwa serangan itu berasal dari agen pengguna WordPress. Namun beberapa dari serangan itu juga datang tanpa agen juga. Saya memeriksa semua situs web yang dirujuk itu dan semuanya adalah situs web yang ketinggalan jaman dan ditinggalkan. Ada satu IP yang hampir sama di semua log dan ada 2 lainnya. 93.174.93.163 adalah IP Belanda tetapi saya yakin bahwa server/hosting yang menyiapkan serangan botnet kepada kami. 2 IP lainnya juga merupakan IP Belanda.

Karena ada terlalu banyak notifikasi "memverifikasi pingback dari" pada serangan, saya pikir dia menggunakan pingbacks dan xmlrpc.php untuk menyerang.

Reaksi pertama saya terhadap serangan adalah mengubah nama xmlrpc.php, lalu menghapusnya sama sekali dan menghapus pingback dari pengaturan WordPress .

Hasil : Itu bahkan tidak memperlambat serangan.

Karena saya tidak mendapatkan hasil yang baik dari gerakan pertama, saya memutuskan untuk menghapus file xmlrpc.php WordPress dari file tersebut. Namun tetap tidak membantu.

Namun telah terbukti bahwa itu membantu untuk beberapa jenis serangan DDOS. Jika Anda juga menghadapinya, Anda juga bisa mencobanya.

Hari 1-) Tanggapan Pertama: Manfaatkan Menjadi Lokal

Sekarang Anda akan memberi tahu saya mengapa saya tidak menggunakan cloudflare. CF membutuhkan waktu untuk menyiapkan dan perubahan server nama terkadang sangat menyakitkan. Jadi saya ingin memperlambat serangan tetapi saya juga menyiapkan cloudflare untuk situs web. Mengubah server nama. Serangannya sangat serius dan sangat merusak penggunaan I/O, bandwidth dan sebagainya. Saya percaya mereka adalah 2-3 orang yang menyerang dari server yang berbeda. Situs web klien saya memperoleh $1000 setiap hari dan itu adalah masalah serius baginya. Situs down sekitar 6 jam.

Karena situsnya lokal, saya memutuskan untuk menyiapkan htaccess. Saya membutuhkan semua alamat ip Denmark. dengan bantuan situs web saya berhasil menemukan semua IP Denmark. Saya akan menutup situs web untuk semua lalu lintas asing untuk sementara. Saya membuat file htaccess dan memblokir semua lalu lintas asing ke situs web .

Hasil : Ini adalah hasil sementara yang baik. Semua bot jahat mencapai 403 halaman sekarang. Namun berita buruk. Bot Google juga mencapai 403. Karena lalu lintas bot sebagian besar berasal dari AS, saya tidak membuat pengaturan apa pun untuk IP bot AS atau Google. Karena ini bersifat sementara sampai perubahan nameserver terjadi, itu tidak menjadi masalah.

Selama seluruh proses saya berbicara dengan klien saya di telepon dan menenangkannya. Dia cukup marah dan kesal karena situasinya. Dia bilang dia mendapat pesan dari penyerang. Dia punya nomor teleponnya!

Hari 1-) Server Nama Berubah dan Masalah dengan Pengaturan Cloudflare

Sekitar 2 jam kemudian saya mengatur htaccess, server nama berubah dan saya mengaktifkan cloudflare. Menghapus aturan tolak/izinkan dari file .htaccess. Namun ada masalah dengan pengaturan WAF Cloudflare. Saya meminta klien saya untuk mengubah IP server dan dia telah melakukannya. Beberapa waktu kemudian saya akan mengubah catatan DNS cloudflare karena informasi IP lama masih ada. Namun jika saya akan melakukannya segera setelah membeli IP, situs akan down lagi. "Under Attack Mode" sudah aktif di situs web.

Hasil : Setelah kami mengaktifkan Cloudflare semua serangan dihentikan.

Setelah kegembiraan 6-7 jam saya berdiri dari kursi saya dan pergi tidur. Kami pikir kami telah menang tetapi itu belum selesai.

Hari 2-) Dia Kembali! Dilewati ke Cloudflare dengan Botnet!

Kami telah mengubah IP di pagi hari dan karena saya pikir situs webnya aman, saya mengubah mode serangan menjadi sedang. Saya membuat beberapa perubahan lain pada .htaccess. Saya telah membeli PRO cloudflare untuk pelanggan saya. Saya mengatur beberapa pengaturan WAF untuk membuat situs web lebih aman. Namun beberapa waktu kemudian dia berhasil kembali dengan serangan yang lebih serius dan jumlah serangan yang serius mengenai asalnya. Dia melewati Cloudflare.

Beberapa pengaturan WAF Cloudflare menjanjikan penghentian serangan bot WordPress, Serangan XMLRPC tetapi tidak . Saya memutuskan untuk mengatur semua pengaturan WAF sebagai default di Cloudflare.

Hasil : Semua serangan bot yang tidak memiliki agen pengguna mulai mencapai 403.

Hasilnya memberikan kelegaan ke situs web untuk beberapa waktu dan server kembali aktif. Namun kami mendapatkan terlalu banyak serangan dan hampir saja.

Hari 2-) Pemblokiran Negara di Cloudflare

Akhirnya saya berpikir bahwa kita harus melakukan lebih banyak investasi pada cloudflare untuk menyingkirkan serangan itu. Kami hampir menghilangkan 50% dari ancaman dengan perubahan terakhir saya. Namun masih ada 50% lainnya. Untuk pemblokiran negara situs web lokal tidak akan menjadi masalah. Juga karena kami telah memperbaiki 50% lalu lintas bot, serangan dari AS tidak akan menjadi masalah serius bagi kami. Kami membeli perusahaan Cloudflare dan memblokir semua lalu lintas asing kecuali dari Amerika Serikat dan Denmark .

Hasil : Ini memperbaiki 90% lalu lintas botnet.

Hari 3-) Balas Dendam adalah Hidangan yang Paling Disajikan Dingin

Server kami dapat menangani 90% lalu lintas botnet. Mereka belum menghentikan serangan mereka. Kemudian saya menemukan plugin yang menarik di WordPress. Namun saya harus mengujinya terlebih dahulu. Kalau tidak, situs web bisa turun dan itu akan merusak segalanya. Saya meminta teman programmer untuk menyerang salah satu situs web saya. Itu bekerja dengan sempurna. Kemudian saya menyelidiki tentang penyerang. Saya mengerti siapa dia dan mengapa dia menyerang kami.

Saya menghubungi penyerang terlebih dahulu. Saya memintanya untuk menghentikan serangannya. Namun dia menjawab saya dengan banyak hinaan dan sumpah serapah. Saya baru saja memblokirnya dari WhatsApp dan bahkan tidak membalasnya. Klien saya meminta saya untuk membayar lebih untuk layanan ini tetapi saya menolak. Saya menganggapnya sebagai kebanggaan. Saya meminta izin klien saya dan menghapus mode serangan. Saya mengatur plugin.

Saya mulai mengirim botnya yang jahat, berdarah, dan keji kembali ke situs webnya. Situs webnya runtuh di depan mata saya. Apa yang saya rasakan sama dengan Cersei yang sedang menonton penghancuran Baelor's Sept. Kemudian saya mengirimi mereka situs webnya yang lain dan kemudian yang lain dan kemudian yang lain ... Ketika mereka menghentikan serangan, sistemnya berhenti. Namun ketika mereka mulai menggunakan bot, itu mengarahkan mereka ke semua situs web mereka.