xmlrpc.php в WordPress: Открытые ворота для брутфорс-атак

information security

Файл xmlrpc.php в WordPress - это скрытая лазейка для хакеров. Данные мониторинга безопасности однозначно показывают: всплески активности у этого интерфейса (предназначенного для удаленного управления) - верный признак идущей брутфорс-атаки. Массивы POST-запросов к xmlrpc.php - это почти всегда предвестник или спутник попыток взлома.

Описание

Сетевые логи рисуют характерную картину атаки: запросы к xmlrpc.php идут лавинообразно, с неестественной регулярностью и в огромных объемах. Критический индикатор - специфическая структура запросов, эксплуатирующая функцию пакетной обработки протокола. Это не одиночные проверки, а организованный автоматизированный штурм.

Типичная атакующая попытка:

Статистика неумолима: через xmlrpc.php осуществляется до 80% всех брутфорс-атак на WordPress. Виной тому - техническая особенность XML-RPC: выполнение множества операций в рамках одного запроса. Злоумышленники злоупотребляют этой функцией, чтобы с высокой скоростью перебирать тысячи комбинаций логин/пароль. Главная ошибка администраторов, ведущая к успеху атаки - оставление интерфейса xmlrpc.php доступным.

Индикаторы компрометации

IPv4

Доступно только авторизованным пользователям. Присоединиться.
Комментарии: 0