Cronache di DDOS: gestire l'attacco XMLRPC dei bot WordPress

Due giorni fa abbiamo affrontato difficoltà con il sito Web di uno dei nostri clienti come Nettsted Limited. Normalmente non forniamo supporto tecnico ai nostri clienti, ma sfortunatamente il servizio di hosting del nostro cliente non le fornisce alcun supporto. Poiché sentivamo la responsabilità di aiutarla, abbiamo deciso di agire contro gli attacchi Botnet . Ci siamo trovati di fronte a strani comportamenti dei bot durante l'attacco. Citerò cosa è successo ora per ora in questa pagina e quali azioni abbiamo fatto per proteggere il sito web del nostro cliente.

L'inizio dell'attacco DDOS: l'attaccante si identifica

In quanto proprietario di Nettsted Limited, lavoro 16-18 ore al giorno per fornire supporto ai nostri clienti. Abbiamo clienti diversi da tutto il mondo, quindi ho bisogno di essere sveglio con fusi orari diversi. Per mesi dopo, prima volevo guardare un film e divertirmi con la mia famiglia. Purtroppo questo è stato uno dei giorni peggiori della mia carriera. Dopo il film, abbiamo deciso di riposarci. Tuttavia, solo una cosa invisibile mi ha colpito e mi ha detto "hey! devi dare un'occhiata alle tue opere e poi dormire”. E sì… Ecco cosa è successo nelle mie 5 ore di assenza al lavoro:

1. Uno dei miei clienti ha rimosso il plugin SEO, cancellato tutte le descrizioni e i titoli del sito web. Ha anche rotto la struttura dei link del sito web.
2. L'altro client ha rimosso alcuni plugin che abbiamo installato relativi alla SEO. Modificate le impostazioni delle cache e in qualche modo tutti i file .js e .css sono rotti.
3. Uno dei miei clienti stava ricevendo un attacco DDOS e stava solo guardando come il suo sito web si sgretolava.

Quando mi sono iscritto a WhatsApp e Skype, ho visto molti reclami per quelle 5 ore. Il 30% delle frasi erano solo “Dove sei?!”.

Il mio cliente mi ha detto di aver ricevuto un messaggio tramite WhatsApp. L'aggressore si è identificato con il numero di telefono e ha detto alla mia cliente che l'avrebbe attaccata. Sembra davvero stupido, ma lo ha fatto davvero... Quando sono tornato al lavoro, l'attacco era già iniziato.

Giorno 1-) Intraprendere la prima azione contro gli attacchi

Questi sono alcuni log dell'attacco che abbiamo ottenuto:

103.9.156.249 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.1; ; verifying pingback from 93.174.93.163"
199.223.214.148 - - [07/Apr/2019:01:19:03 +0100] "GET / HTTP/1.0" 200 13194 "-" "WordPress/3.3.1; http://www.mentalic.gr"
216.240.176.141 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.0;
104.236.33.158 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.1; http://pmsearchpartners.com; verifying pingback from 93.174.93.163"
149.210.236.96 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/3.9.27; http://imageconsultant.mu/; verifying pingback from 149.210.236.96"
185.87.249.33 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1;
158.69.26.84 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/3.9.2; http://teensystudios.com; verifying pingback from 93.174.93.163"
103.233.76.243 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.26; http://help.worldmart.in; verifying pingback from 93.174.93.163"
203.175.180.254 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.1; http://www.cybertechriskcenter.com; verifying pingback from 93.174.93.163"
199.223.214.148 - - [07/Apr/2019:01:19:03 +0100] "GET / HTTP/1.0" 200 13194 "-" "WordPress/3.3.1; http://www.mentalic.gr"
68.71.60.249 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/4.1.26; http://www.itunesalternative.org; verifying pingback from 93.174.93.163"
66.55.132.6 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-" "WordPress/3.8.16;
163.172.103.45 - - [07/Apr/2019:01:19:02 +0100] "GET / HTTP/1.0" 200 73651 "-"


Nei log puoi vedere che l'attacco proveniva dagli user agent di WordPress. Tuttavia, alcuni di quegli attacchi stavano arrivando anche senza agenti. Ho controllato tutti quei siti Web di riferimento ed erano tutti siti Web obsoleti e abbandonati. C'è un IP che era quasi lo stesso in tutti i registri e ce n'erano altri 2. 93.174.93.163 era un IP olandese, ma credo che fosse il server/hosting a prepararci un attacco botnet. Altri 2 PI erano anche PI dei Paesi Bassi.

Dato che c'erano troppe notifiche di "verifica del pingback da" sugli attacchi, ho pensato che stesse usando pingback e xmlrpc.php per attaccare.

La mia prima reazione agli attacchi è stata cambiare il nome di xmlrpc.php, quindi rimuoverlo del tutto e rimuovere i pingback dalle impostazioni di WordPress .

Risultato : non ha nemmeno rallentato gli attacchi.

Dal momento che non ho ottenuto buoni risultati dai primi movimenti, ho deciso di rimuovere il file xmlrpc.php di WordPress dai file. Tuttavia ancora non ha aiutato.

Tuttavia ha dimostrato che sta aiutando per alcuni tipi di attacchi DDOS. Se anche tu stai affrontando questo, puoi anche provarlo.

Giorno 1-) Prima risposta: approfitta dell'essere locale

Ora mi dirai perché non ho usato cloudflare. CF richiedeva tempo per l'installazione e le modifiche al server dei nomi a volte possono essere davvero dolorose. Quindi volevo rallentare gli attacchi, ma ho anche configurato cloudflare per il sito Web. Cambiati i nameserver. L'attacco è stato grave e ha danneggiato seriamente l'utilizzo di I/O, larghezza di banda e così via. Credo che fossero 2-3 persone che stavano attaccando da server diversi. Il sito web del mio cliente guadagnava 1000$ al giorno ed era un problema serio per lui. Il sito è rimasto inattivo per circa 6 ore.

Poiché il sito era locale, ho deciso di configurare un htaccess. Avevo bisogno di tutti gli indirizzi IP della Danimarca. con l'aiuto di un sito web riesco a trovare tutti gli IP della Danimarca. Chiuderei temporaneamente il sito a tutto il traffico estero. Ho creato un file htaccess e bloccato tutto il traffico estraneo al sito web .

Risultato : Questo è un buon risultato temporaneo. Tutti i bot dannosi raggiungevano ora le 403 pagine. Comunque una brutta notizia. Anche i bot di Google stavano raggiungendo 403. Poiché il traffico del bot proveniva principalmente dagli Stati Uniti, non ho eseguito alcuna configurazione per gli IP dei bot statunitensi o di Google. Dal momento che questo era temporaneo fino a quando non vengono apportate modifiche al server dei nomi, non è stato un problema.

Durante l'intero processo ho parlato con la mia cliente al telefono e l'ho calmata. Era piuttosto arrabbiata e sconvolta a causa della situazione. Mi ha detto di aver ricevuto messaggi dall'aggressore. Aveva il suo numero di telefono!

Giorno 1-) Server dei nomi modificati e problemi con le impostazioni di Cloudflare

Circa 2 ore dopo ho configurato htaccess, i nameserver sono cambiati e ho attivato cloudflare. Rimosse le regole di negazione/consenti dal file .htaccess. Tuttavia si è verificato un problema con le impostazioni WAF di Cloudflare. Ho chiesto al mio cliente di cambiare l'IP del server e lei lo ha fatto. Qualche tempo dopo avrei cambiato i record DNS di cloudflare poiché le vecchie informazioni IP erano ancora lì. Tuttavia, se lo facessi subito dopo l'acquisto dell'IP, il sito sarebbe di nuovo inattivo. Sul sito era già attiva la “Modalità Under Attack” .

Risultato : dopo aver attivato Cloudflare, tutti gli attacchi sono stati interrotti.

Dopo le 6-7 ore di eccitazione mi sono alzato dalla sedia e sono andato a dormire. Pensavamo di aver vinto ma non è ancora finito.

Giorno 2-) È tornato! Bypassato a Cloudflare con Botnet!

Abbiamo cambiato l'IP al mattino e poiché pensavo che il sito Web fosse sicuro, ho cambiato in modalità di attacco su medio. Ho apportato altre modifiche su .htaccess. Ho acquistato PRO cloudflare per il mio cliente. Ho configurato alcune impostazioni WAF per rendere il sito Web più sicuro. Tuttavia, qualche tempo dopo è riuscito a tornare con attacchi più gravi e una quantità seria di attacchi stava colpendo all'origine. Stava bypassando Cloudflare.

Alcune impostazioni WAF di Cloudflare promettevano di fermare gli attacchi dei bot di WordPress, l'attacco XMLRPC ma non lo erano . Ho deciso di configurare tutte le impostazioni WAF come predefinite su Cloudflare.

Risultato : tutti gli attacchi di bot che non hanno user-agent iniziano a colpire a 403.

Il risultato ha dato sollievo al sito Web per un po' e il server è stato di nuovo attivo. Tuttavia stavamo ricevendo troppi attacchi ed era vicino.

Giorno 2-) Blocco Paese su Cloudflare

Alla fine ho pensato che avremmo dovuto investire di più su cloudflare per sbarazzarci di quegli attacchi. Abbiamo quasi rimosso il 50% della minaccia con le mie ultime modifiche. Tuttavia c'era ancora un altro 50%. Per un sito Web locale, il blocco del Paese non sarebbe un problema. Inoltre, poiché abbiamo corretto il 50% del traffico dei bot, gli attacchi dagli Stati Uniti non sarebbero un problema serio per noi. Abbiamo acquistato Cloudflare enterprise e bloccato tutto il traffico estero ad eccezione di USA e Danimarca .

Risultato : questo ha corretto il 90% del traffico botnet.

Giorno 3-) La vendetta è un piatto che va servito freddo

Il nostro server potrebbe riuscire a gestire il 90% per cento del traffico botnet. Tuttavia, non hanno fermato i loro attacchi. Poi ho trovato un plugin interessante su WordPress. Comunque prima ho dovuto provarlo. In caso contrario, il sito Web potrebbe non funzionare e ciò rovinerebbe le cose. Ho chiesto a un amico programmatore di attaccare uno dei miei siti web. Funzionava perfettamente. Poi indago sull'aggressore. Capisco chi è e perché ci sta attaccando.

Ho contattato prima l'attaccante. Gli ho chiesto di fermare i suoi attacchi. Comunque mi ha risposto con tanti insulti e imprecazioni. L'ho appena bloccato da WhatsApp e non gli ho nemmeno risposto. Il mio cliente mi ha chiesto di pagare di più per questo servizio ma ho negato. Lo stavo prendendo come una questione di orgoglio. Ho chiesto il permesso al mio cliente e ho rimosso la modalità sotto attacco. Ho impostato il plugin.

Ho iniziato a rimandare i suoi robot cattivi, sanguinari e vili sul suo sito web. Il suo sito web è crollato davanti ai miei occhi. Quello che ho provato è stato lo stesso con Cersei che stava guardando la distruzione di Baelor's Sept. Poi ho inviato loro il suo altro sito Web e poi un altro e poi un altro… Quando hanno fermato l'attacco, il sistema si stava fermando. Tuttavia, quando hanno iniziato a colpire con i bot, li stava reindirizzando a tutti i loro siti Web.