DDOS Kronikleri: Bot WordPress’ten XMLRPC saldırılarını ele almak

İki gün önce Nettted Limited olarak müşterimizin web sitelerinden biriyle zorluklarla karşılaştık. Genellikle müşterilerimize teknik destek vermiyoruz, ancak maalesef müşteri barındırma hizmetlerimiz ona destek vermiyor. Ona yardım etmekten sorumlu olduğumuz için botnet saldırısına karşı harekete geçmeye karar verdik. Saldırı sırasında botun garip davranışıyla karşı karşıyayız. Bu sayfada saatlerce ne olduğunu ve müşterimizin web sitesini korumak için hangi işlemleri yaptığımızdan bahsedeceğim.
İçindekiler

Erken DDOS saldırısı: Saldırgan kendini tanımladı
1. Gün-) saldırıya karşı ilk eylemi yaptı
1. Gün-) İlk Yanıt: Yerel olmanın yararına alın
1. Gün-) Sunucu adı Cloudflare ayarlarıyla ilgili değişiklikler ve sorunlar
2. Gün-) Geri dönüyor! Botnet ile Cloudflare’e geçti!
2. Gün-) Cloudflare’de Ülkenin Engellenmesi
3. Gün-) İntikam en havalı servis tabağıdır
DDOS saldırısının başlangıcı: Saldırgan kendini tanımladı çünkü Nettted Limited’in sahibi olduğum için, müşterilerimize destek sağlamak için günde 16-18 saat çalışıyorum. Dünyanın her yerinden farklı müşterilerimiz var, bu yüzden farklı bir zaman dilimi inşa etmeliyim. Aylar sonra önce bir film izlemek ve ailemle eğlenmek istedim. Ne yazık ki bu kariyerimin en kötü günlerinden biri. Filmden sonra dinlenmeye karar verdik. Ama sadece beni bıçaklayan ve bana “Hey! Çalışmanızı görmeli ve sonra uyumalısınız “. Ve evet … işte yokluğumun 5 saatinde olan buydu:
Müşterilerimden biri SEO eklentisini sildi, web sitesinin tüm açıklamalarını ve başlıklarını sildi.Ayrıca web sitesi bağlantısının yapısına zarar verdi. Diğer müşteriler, SEO ile ilgili yüklediğimiz birkaç eklentiyi sildi.Önbellek ayarlarını değiştirin ve bir şekilde tüm .js ve .css dosyaları hasar görür.
Müşterilerimden biri bir DDOS saldırısı aldı ve sadece web sitesinin nasıl çöktüğünü gördü.
Whatsapp ve Skype’a katıldığımda 5 saat boyunca birçok şikayet görmüştüm.Sadece cümlenin% 30’u “Neredesin?!”.Müvekkilim bana WhatsApp aracılığıyla bir mesaj aldığını söyledi.Saldırgan kendini bir telefon numarası ile tanımladı ve müvekkilime ona saldıracağını söyledi.Bu gerçekten aptalca geliyor ama gerçekten yaptı … işe döndüğümde saldırı başlamıştı.
Gün 1-) Bu saldırıya karşı ilk eylemde bulunmak, aldığımız saldırının kütüklerinden bazılarıdır: 103.9.156.249 – – [07/nis/2019: 01: 19: 02 +0100] “Get/http/1.0″ 200 73651 ” -” “WordPress/4.1.1; Pingback’in 93.174.93.163” 199.223.214.148 – [Nis/HTTP/1.0 “200 13194” – “WordPress /3.3.1; http://www.menalic.gr “216.240.176.141 – – [07/nis/2019: 01: 19: 02 +0100]” get/http/1.0 “200 73651” – “wordpress/4.0 ; 104.236.33.158 – – [07/Nis/2019: 01: 19: 02 +0100] “GET/HTTP/1.0″ 200 73651 ” -” “WordPress/4.1.1; http://pmsearchpartners.com; Pingback’in 93.174.93.163 “149.210.236.96’dan doğrulanması – – [07/Nis/2019: 01: 19: 02 +0100]” GET/HTTP/1.0 “200 73651” – “” WordPress/3.9.27; http://imageconsultant.mu/; Pingback’in 149.210.236.96 “185.87.249.33’ten doğrulanması – – [07/Nis/2019: 01: 19: 02 +0100]” GET/HTTP/1.0 “200 73651” – “” WordPress/4.1; 158.69.26.84 – – – [07/Nis/2019: 01: 19: 02 +0100] “GET/HTTP/1.0″ 200 73651 ” -” “WordPress/3.9.2; http://teensystudios.com; 93.174.93.163 “103.233.76.243 – – [07/nis/2019: 01: 19: 02 +0100]” get/http/1.0 “200 73651” – “” wordpress/4.1.26; http: //help.worldmart .in; Pingback’in 93.144.93.163 “203.175.180.254’ten doğrulanması – [Nis/2019: 01: 19: 02 +0100]” get/http/1.0 “200 73651” – “” WordPress/4.1.1; http:/ /www.cybertechriskcenter.com; 93.174.93.163 “199.223.214.148 – – [Nisan/Http/1.0″ 200 13194 ” -” 200 13194 ” -”
“WordPress/3.3.1; http://www.menalic.gr” 68.71.60.249 – – [07/nis/2019: 01: 19: 02 +0100] “get/http/1.0″ 200 73651 ” -” ” WordPress/4.1.26; http://www.itunesalternative.org; 93.174.93.163 “66.55.132.6 – – [nis/2019: 01: 19: 02 +0100]” http/1.0 “200 73651″ – doğrulama ” – “” WordPress/3.8.16; 163.172.103.45 – – [07/Nis/2019: 01: 19: 02 +0100] “GET/HTTP/1.0″ 200 73651 ” -” Günlükte saldırının geldiğini görebilirsiniz Bir WordPress kullanıcı aracısından. Ancak bazı saldırılar da bir temsilci olmadan da geldi. Acenteden alınan tüm web sitelerini kontrol ettim ve hepsi modası geçmiş ve terk edildi. Tüm günlüklerde neredeyse aynı olan bir IP vardı ve 2 kişi daha vardı. 93.174.93.163 Hollanda IP’dir, ancak bize bir botnet saldırısı hazırlayan sunucu/barındırma. 2 Diğer IP’ler de Hollandalı IP’dir. Çünkü çok fazla bildirim var “çünkü” açık “pingback’leri doğrulamak” açıktır. Saldırılar, sanırım pingback ve xmlrpc .php U. saldırmak.
Saldırıya ilk tepkim xmlrpc.php adını değiştirmek, daha sonra tamamen kaldırmak ve Pingback’i WordPress ayarlarından silmekti.
Bulgular: Bu, saldırıları bile yavaşlatmaz. İlk hareketten iyi sonuçlar almadığım için, XMLRPC.php WordPress dosyasını dosyadan silmeye karar verdim. Ama yine de yardımcı olmuyor. Ancak, çeşitli DDOS saldırılarına yardımcı olduğu kanıtlanmıştır. Ayrıca yüzleşirseniz, deneyebilirsiniz. 1. Gün-) İlk Cevap: Yerel olmanın yararlanın şimdi bana neden Cloudflare kullanmadığımı söyleyeceksiniz. CF, sunucu adlarını bazen çok acı verici hazırlamak ve değiştirmek için zaman gerektirir. Bu yüzden saldırıları yavaşlatmak istiyorum ama Cloudflare’i web sitelerine de hazırlıyorum. Ad sunucusunu değiştirin. Saldırı çok ciddiydi ve G/Ç, bant genişliği vb. Kullanımına çok zarar verdi. Farklı sunuculardan saldıran 2-3 kişi olduklarına inanıyorum. Müvekkilimin web sitesi her gün 1000 dolar alıyor ve bu onun için ciddi bir sorun. Kapalı site yaklaşık 6 saat. Site yerel olduğu için HTAccess hazırlamaya karar verdim. Tüm Danimarka IP adreslerine ihtiyacım var. Web sitesinin yardımıyla tüm Danimarkalı IP’leri bulmayı başardım. Bir süre tüm dış trafik için web sitesini kapatacağım. Bir htaccess dosyası oluşturdum ve web sitesine tüm yabancı trafiği engelledim. Bulgular: Bu iyi bir geçici sonuçtur. Tüm kötü botlar şimdi 403 sayfaya ulaşıyor. Ama kötü haber. Google Bots da 403’e ulaştı. Bot trafiği çoğunlukla ABD’den geldiğinden, ABD veya Google IP botu için herhangi bir ayar yapmadım. NameServer’daki değişiklikler meydana gelene kadar bu geçici olduğu için bir sorun değildir.
Tüm süreç boyunca telefonda müvekkilimle konuştum ve onu sakinleştirdim. Durum yüzünden oldukça kızgın ve üzgündü. Saldırgandan bir mesaj aldığını söyledi. Telefon numarası var! Gün 1-) Adı sunucusu Cloudflare ayarlarıyla ilgili değişiklikler ve sorunlar yaklaşık 2 saat sonra HTAccess’i ayarladım, ad sunucusu değişiyor ve CloudFlare’yi etkinleştiriyorum. Reddetme kurallarını silin/.htaccess dosyasından izin verin. Ancak WAF Cloudflare ayarlarında bir sorun var. Müvekkilimden IP sunucusunu değiştirmesini istedim ve bunu yapmıştı. Bir süre sonra DNS Cloudflare notlarını değiştireceğim çünkü eski IP bilgileri hala orada. Ama eğer bir IP satın aldıktan hemen sonra yapacağım, site tekrar kapalı olacak. Web sitesinde “Saldırı Modu Altında” etkin. Sonuçlar: CloudFlare’yi etkinleştirdikten sonra tüm saldırılar durdurulur. 6-7 saatlik heyecandan sonra sandalyemden ayağa kalktım ve uyumaya gittim. Kazandığımızı düşünüyoruz ama bitmedi. 2. Gün-) Geri dönüyor! Botnet ile Cloudflare’e geçti! Sabah IP’yi değiştirdik ve web sitesinin güvenli olduğu için saldırı modunu ortam olarak değiştirdim. .Htaccess’te başka değişiklikler yaptım. Müşterilerim için Pro Cloudflare satın aldım. Web sitesini daha güvenli hale getirmek için bazı WAF ayarları ayarladım. Ancak bir süre sonra daha ciddi bir saldırı ve kökenine ciddi sayıda saldırı ile geri dönmeyi başardı. Cloudflare’yi geçti.

Bazı WAF Cloudflare ayarları, WordPress bot saldırılarının, XMLRPC saldırılarının sonlandırılmasını vaat ediyor, ancak değil. Tüm WAF ayarlarını Cloudflare’de varsayılan olarak düzenlemeye karar verdim. Bulgular: Kullanıcı aracıları olmayan tüm bot saldırıları 403’e ulaşmaya başlar. Sonuçlar bir süre web sitesine rahatlama sağlar ve sunucu tekrar etkindir. Ama neredeyse çok fazla saldırı ve neredeyse. 2. Gün-) Cloudflare’deki ülkeyi engellemek Sonunda, saldırıdan kurtulmak için Cloudflare’ye daha fazla yatırım yapmamız gerektiğini düşündüm. Son değişikliğimle tehdidin% 50’sini neredeyse kaldırdık. Ama hala%50 var. Yerel web sitelerinin ülkesini engellemek sorun olmayacak. Ayrıca bot trafiğinin% 50’sini sabitlediğimiz için, ABD’den gelen saldırılar bizim için ciddi bir sorun olmayacak. Bir Cloudflare şirketi satın aldık ve ABD ve Danimarka dışında tüm dış trafiği engelledik.