XMLRPC nedir ve çevrimiçi işinize zarar vermek için bilgisayar korsanlarını kullanmayı nasıl durdurabilirsiniz?
Bazı deneyimli geliştiriciler bile XMLRPC’yi ve bununla ilgili güvenlik tehditlerini tam olarak anlamamaktadır. Yönettiğiniz site/sitenin hemen dikkat gerektiren aktif bir XMLRPC dosyasına sahip olması çok mümkündür, ancak yalnızca XMLRPC’nin nasıl çalıştırıldığını ve onu güvenli bir şekilde ele almanın en iyi yolu olduğunu bildikten sonra etkili bir eylem planı çalıştırabilirsiniz. WordPress’in şimdi kendi API dinlenmesine sahip olmasına rağmen, XMLRPC.php dosyası hala çekirdeğindedir ve WordPress sitesini çeşitli siber saldırılara maruz bırakan varsayılan olarak etkinleştirilir. Bu makalede, bu dosyanın kullanımını, bununla ilgili güvenlik açığını ve sitenizin güvenliğini tehlikeye atmadan nasıl ele alınacağını inceleyeceğiz.
İçerik Listesi
Xmlrpc.php dosyası nedir?
XMLRPC.php dosyalarına sahip kötü bilgisayar korsanları nasıl olabilir?
Kör saldırı
DDOS saldırısı
Çapraz Yerinde Port Saldırısı (XSPA)
XMLRPC saldırılarını engellemenin etkisiz yöntemi
XMLRPC’yi tamamen devre dışı bırakarak
Güvenlik eklentileri neden sitenizi yüklemek
Hızlandırılmış alan, müşterileri için XMLRPC sorunlarıyla nasıl başa çıkıyor?
Son zihin
Xmlrpc.php dosyası nedir? En basit haliyle, platformlar arası iletişim için XML-RPC (uzak prosedür çağrısı) yapılır. Bu protokol, HTTP’yi taşıma olarak ve kodlayıcı olarak XML kullanan prosedürleri çağırmak için kullanılır. İstemci, sunucuya HTTP istekleri göndererek ve karşılığında HTTP yanıtını alarak bu çağrıyı yaptı. XML-RPC, HTTP istekleri aracılığıyla işlevleri çağırır ve ardından bu işlevler birkaç önlem alır ve yanıtlarını yanıtlarını gönderir.
Kavramı tam olarak anlamak için bunu dinlenme çağrısı ile karşılaştıralım. Liste
? Kullanıcı kimliği = 123
RPC kaynağını tanımlamak için URL parametresini kullanarak dinlenin RPC, işlev bağımsız değişkeni olarak sağlamak için bir sorgu parametresi kullanır. WordPress, kullanıcıların siteleriyle uzaktan etkileşime girmesine izin vermek için XMLRPC kullanır. Hala hücresel uygulamalarına güç sağlamak ve jetpack, wooocommerce, vb. Gibi eklentileri desteklemek için kullanıyor. XMLRPC.php dosyasının kullanıldığı zayıflıklara sahiptir, ancak onu tamamen devre dışı bırakıyor mu? Bunu cevaplamak için önce onunla ilgili güvenlik açığını ve bundan kaçınmak için hangi çözümlerin mevcut olduğunu görmemiz gerekir.
XMLRPC.php dosyalarına sahip kötü bilgisayar korsanları nasıl olabilir?XMLRPC kullanarak, bilgisayar korsanları bir çağrı prosedürü (RPC) kullanır ve istedikleri verileri almak için işlevi çağırır.Çoğu WordPress sitesinde, XMLRPC.php dosyaları kolayca izlenir ve yalnızca XML verilerini keyfi olarak göndererek, bilgisayar korsanları siteyi belirli saldırı türlerini yürütmek için hazırladıkları kodu çalıştırmak için kontrol eder.WordPress XMLRPC’nin nasıl sızdığını anlamak için, onunla ilgili en popüler siber saldırılara bakalım.Kör saldırılar Bruteforce saldırılarında, bilgisayar korsanları, girmek için çeşitli çaba göstererek doğru kullanıcı adlarını ve şifreleri tahmin etmeye çalışır.Ne yazık ki, çok sayıda WordPress sitesi, zayıf olan veya saldırganı durdurmak için bir güvenlik katmanı olmayan yönetici şifreleri kullanır.Bu siteler bu tür saldırılarla kolayca tehlikeye atılır.
Diğerleri güçlü şifreler kullanır ve ayrıca Recaptcha gibi güvenlik mekanizmalarına ve kaba kuvvet saldırılarına karşı etkili olan ancak bilgisayar korsanları XMLRPC kullanmaya karar verirse IP’lerin etkili bir engellemesine sahiptir;WordPress yöneticisine erişmesi bile gerekmiyor.Kali Linux’tan çok yaygın bir araç olan WPSCAN, tüm kullanıcı adlarını hesaplamak için kullanılır ve tamamlandıktan sonra, bilgisayar korsanları, kurban sitesine aşağıdaki HTTP isteklerini göndererek XMLRPC.php dosyasını kullanarak şifreyi zorlar.Post /xmlrpc.php HTTP/1.1 Kullanıcı Ajanı: Fiddler Ana Bilgisayar: www.example.com Content-uzunluk: 164 wp.getUsersblogs /Param> pass
Yukarıdaki örnekte, bir hacker doğru şifreyi alana kadar binlerce varyasyon gönderebilir.Aşağıdaki yanıtlar yukarıdaki talebe döndürülür.Yanıt, net bir hata kodu ve mesajı içeriyor ve yanlış denenen kullanıcı adının ve şifrenin.Bu, bilgisayar korsanlarına doğru şifre uygun olana kadar tekrar denemelerini söyleyen açık bir göstergedir.HTTP/1.1 200 OK Sunucu: Nginx Tarih: Güneş, 26 Mayıs 2019 13:30:17 GMT İçerik Tipi: Text/XML;Charset = UTF-8 Bağlantı: Keep-Clive X-Powered-By-By-By-By: PHP/7.1.21 Önbellek Kontrolü: Özel, Mutlaka Teşvik Edinme Süresi: Sun, 02 Haz 2019 13:30:17 GMT İçerik Uzunluğu: 403 hatalı kod
Yanıt HTTP 200 kodunu döndürür ve verilen kullanıcı adının ve şifrenin yanlış olduğu mesajı. XMLRPC kanalı aracılığıyla, bilgisayar korsanlarının Recaptchas hakkında endişelenmelerine veya giriş çabalarının eklentisini sınırlamalarına gerek yoktur. Doğru şifre alınana kadar varyasyonlar yapmaya devam edebilir. Not: Brute Force saldırıları çok fazla kaynak gerektirir ve performans sorunlarına neden olur. Deneme süreci, sunucunuzu gerçek ziyaretçilere hizmet etmekle meşgul olabilecek daha uzun bir süre bir daire içinde çalışıyor. Gereksiz kaynakların tüketimi sunucunun daha fazla güç tüketmesine neden olur. DDOS Dağıtılmış Hizmet Reddetme (DDOS), sunucuyu aynı anda yüzlerce ve binlerce taleple vurarak felç edebilen en ölümcül siber saldırılardan biridir. Hacker, saldırıyı yürütmek için XMLRPC.php dosyasıyla birlikte Pingback WordPress özelliğini kullanır. İdeal olarak, bilgisayar korsanları birkaç kez tıklanabilen ve yanıtlanması daha uzun süren bitiş noktasını veya sayfayı hedefler. Bu şekilde bir darbenin sunucu kaynakları üzerinde maksimum etkisi olabilir ve bizim durumumuzda XMLRPC, bilgisayar korsanlarına son noktayı ortaya çıkarmada iyi hizmet eder.
Sızılan bazı WordPress siteleri, bir kurbanı hedeflemek için pingback.ing yöntemini çalıştırmak için kullanılır. Aşırı HTTP GET ve Gönderen İstekleri düzenli trafik sıkışıklığı oluşturur ve sonunda bir çarpışma sunucusu yapar. İlk olarak, bilgisayar korsanları, aşağıdaki isteği göndererek XMLRPC.php dosyasının etkinleştirilip etkinleştirilmediğini kontrol edin.
Post /xmlrpc.php http /1.1 ana bilgisayar: withsecurity.com Bağlantı: Keep-feel-feer içerik uzunluğu: 175 <? Xml sürüm = "1.0" kodlama = "utf-8"? <Param
XMLRPC’nin hedef web sitesinde etkinleştirildiği doğrulandıktan sonra, saldırgan, kurbanın sitesine pingback için birkaç talep göndermek için kullanılmayan bir sitenin ağını kullanarak saldırmaya başladı. Bu, birkaç ana bilgisayardan otomatikleştirilebilir ve kurbanın sitesinde toplu DDOS saldırılarına neden olmak için kullanılır. Post /xmlrpc.php http/1.1 ana bilgisayar: withsecurity.com Bağlantı: Keep-client içerik uzunluğu: 293 pingback.ping //173.244.58.36/ https://example.com/blog/how-the–ma-a-a-a–a–a–a- > Cross -Site bağlantı noktası (XSPA) bağlantı noktası çapraz sitesi (XSPA), bilgisayar korsanlarının TCP bağlantı noktaları ve IP adresleri hakkında bilgi almak için tehlikeli komut dosyaları enjekte ettiği çok yaygındır. WordPress durumunda, XMLRPC, CloudFlare gibi temel WAF gibi tüm IP gizlemelerini atlamak için bir pingback mekanizması ile birlikte kullanılır. XSPA saldırılarında, bilgisayar korsanları, yanıt olarak bir IP adresi göndermek için hedef web sitesindeki bir yayını pingback yapmak için pingback.ing yöntemini kullanır. Hacker, doğrudan blog gönderisinden pingback ve URL göndermek için son noktayı belirtmek için bir sniffer kullanır. Hacker, sunucudan aşağıdaki isteği gönderir. pingback.ping
http: // : param> http:/ / Yanıt bir hata kodu içeriyorsa ve değer 0’dan büyükse, bu da bağlantı noktasının HTTP paketini doğrudan göndermeye başlamanız için açık olduğu anlamına gelir. Makalede şu ana kadar etkili olmayan XMLRPC saldırılarını engelleme yöntemi, xmlrpc.php dosyasının DDOS, BruteForce ve bölgeler arası bağlantı noktası saldırısı gibi bazı ciddi siber saldırılara karşı savunmasız olduğunu belirledik, bu nedenle çok Bu saldırıyı engellemek için doğru işlemek önemlidir. . XMLRPC’yi tamamen silerek, sunucunuzun erişmeye çalışan herkese 404 hata yapmaya başlamasını sağlayacak XMLRPC dosyasını silmeniz yeterlidir. Bu çözümün dezavantajı, WordPress’i her güncellediğinizde dosyanın yeniden oluşturulmasıdır. XMLRPC’yi devre dışı bırakarak, XMLRPC.php dosyasını devre dışı bırakmaktır. Bunu sadece .htaccess dosyanıza kod bloğunu ekleyerek yapabilirsiniz. WordPress tarafından asla değişmeyen .htaccess kuralından önce bunu yaptığınızdan emin olun. Sipariş ver, REDDY’den All ‘dan reddetme, onu kullanan her uygulama veya hizmet için xmlrpc.php dosyasını devre dışı bırakacaktır. WordPress sitenize XMLRPC üzerinden erişmek istiyorsanız, beyaz listeye belirli bir IP adresi girebilirsiniz. Bu nedenle, aşağıdaki komutu eklemeniz gerekir: ip 1.1.1.2 wortring ı ı 2001: db8 ::/32 xmlrpc riskini kazanan güçler Siber saldırılarda kötüye kullanıldı.
Uzun vadeli performans avantajları ve sunucu kaynaklarında tasarruf.
Tezgah
XMLRPC’yi devre dışı bırakmak, bu uzun mesafeli erişim sürümünü kullanan uygulamalar için uzaktan erişimi devre dışı bırakmakla aynıdır. Bu, Jetpack, WP hücresel uygulaması veya WordPress sitenize XMLRPC aracılığıyla bağlanan diğer herhangi bir çözümün artık sitenize bağlanamayacağı anlamına gelir. Özel uygulamalar için eski kod da çalışmayabilir.
Neden Bir Güvenlik Eklentisi Yükle Sitenize Hava Var WordPress kullanıcıları, site performansı üzerindeki etkisi hakkında çok fazla düşünmeden gereken özellikler veya işlevsellik için eklentilere güvenir. Web sitenizi XMLRPC ile ilgili güvenlik sorunlarından güvence altına almaya söz veren birkaç WordPress güvenlik eklentisi var, ancak gerçekte sitenize daha zarar veriyorlar. Sitenizi eklentilerle güvence altına almanın en iyi seçim olmasının bazı nedenleri.
Güvenlik eklentileri yalnızca uygulama düzeyinde etkilidir ve sunucunuzu saldırıya karşı korumaz.
Sitenizde performanslarını azaltan ve zamanı ilk bayta (TTFB) artıran gereksiz kodlar eklerler.
Bu eklentilerin bazıları yararlı olmaktan daha tehlikelidir ve bilgisayar korsanları tarafından web sitenize arka kapı yapmak için kullanılır.
Bu eklenti, daha fazla iş yükü ekleyen sık yönetim gerektirir.
Yukarıdaki değerlendirmeden, XMLRPC güvenlik sorunları ile başa çıkmak için ideal bir çözüm sunan bir seçenek yoktur. Bu bizi hızlandırılmış alana götürür. Karmaşık güvenlik ve daha fazlası ile ilgili sorunları çözmek için oluşturulan hizmetler. Hızlandırılmış alanın sizin için XMLRPC problemini nasıl etkili bir şekilde çözebileceğine bakalım. Hızlandırılmış alan, müşterileri için XMLRPC sorunlarıyla nasıl başa çıkıyor? Hızlandırılmış alan, karmaşık performansı, güvenlik ve ölçeklenebilirlik sorunlarını en etkili şekilde çözer. Hızlandırılmış alan adları, XMLRPC ile ilgili olanlar da dahil olmak üzere her türlü siber saldırıyı engelleyen şirket tarafından yönetilen bir güvenlik sunar. Akıllı güvenlik hızlandırılmış alanlar sunucunun önünde ve tüm HTTP trafiğinin neredeyse% 40’ını filtreler. Bu, sürdürülebilir verilerin sağlanması ve doğrudan bilgi ve trend trafik analizi ile desteklenen akıllı sezgisel yetenekleri aracılığıyla zaman çizgisinin başındaki en siber saldırıları bile tespit eder. Hızlandırılmış etki alanı, sitenizin performansını herhangi bir şekilde düşürmeden büyüsünü yapar. Aslında, onu hızlandırır. Proaktif Hızlandırılmış Etki Alanları Güvenlik Makinesi, web sitenizi otomatik olarak DDOS saldırılarından korur. Neredeyse 60 TBP’lik bir ağ kapasitesi ile bu cihaz, internetteki en büyük DDOS saldırılarından bazılarını bile tutmak için iyi donanımlıdır. Benzer şekilde, bu, bir kaynaktan üretilen talep miktarının tanımlandığı ve kötü aktiviteyi önlemek için sınırlı olduğu otomatik hız kısıtlama özelliği yoluyla Bruteforce saldırılarına karşı etkili bir savunma mekanizması sağlar. avantajlar
Hızlandırılmış etki alanı, XMLRPC ile ilişkili güvenlik güvenlik açığının çoğunu azaltır, bu nedenle onu devre dışı bırakmaya gerek yoktur. Kullanıcıların jetpack, wooocommerce uygulamaları ve XMLRPC.php dosyalarına bağlı diğer araçlar gibi eklentileri kullanmasına izin verin.
Herhangi bir etki alanında karmaşıklık olmadan entegrasyon, bu nedenle .htaccess dosyasını değiştirmeye gerek yoktur.
Ek eklentiler yüklemeye gerek yok.
Hiç yok.
Siber saldırıların son zihni günden güne giderek daha sofistike ve bir web yöneticisi ve işletme sahibi olarak, bunu anlamanız ve bununla başa çıkacak araçları bilmeniz çok önemlidir. Çoğu saldırı, sürekli izleme ve yenilenme yazılımı gibi proaktif bir yaklaşımla veya otomatik pilotlarla tüm bunları yapan hızlandırılmış alanlar gibi araçlar ekleyerek önlenir. Etkinleştirildikten sonra, hızlandırılmış alan, trafiği akıllıca filtreliyor ve orijinal sunucunuzu ve web sitenizi siber saldırılardan korumak için gerekirse gerekli önlemi alıyor.
