xmlrpc.php

Wenn Sie einen WordPress-Blog betreiben, haben Sie per Default eine große Schwachstelle in Ihrem Root-Ordner liegen. Die Datei heißt xmlrpc.php und kann ohne Aufwand von Botnetzen für DDoS-Attacken mißbraucht werden.

Sie selbst bekommen das in der Regel zuerst nicht mit und wundern sich aber irgendwann, daß Ihr Account erst sehr langsam ist und sich dann mit einem Sperrbild meldet. Wenn dies bei Ihnen der Fall ist, hosten Sie bei einem etwas weniger sicherheitsbewußten Provider und sollten darüber nachdenken zu uns umzuziehen, denn bei twosteps ist dieser Sicherheitslücke ein Schloß vorgeschoben.

Was kann ich mit der xmlrpc.php anstellen?

Diese Datei ist unter anderem für den Pingback zuständig. Genau mit dieser Funktion kann man aber auch andere Websites in die Knie zwingen oder ausspähen. Dazu wird einfach mit einem Zweizeiler über cURL eine andere URL und ein Port übergeben (z.b. google.de:22). Die WordPress-Installation geht nun her und versucht auf dieser Adresse und Portnummer einen Pingback zu hinterlassen. Auf diese Art wird mit Ihrer WordPress-Installation auf anderen Servern nach offenen oder ungeschützten Ports gesucht.

Ganz böse wird es, wenn man die PingBacks dazu verwendet, eine Website zu belasten. Stellen Sie sich einfach vor, ein BotNet aus 1 Mio Rechnern schickt an 200.000 WordPress-Installationen eine Anfrage auf domain.tld:80. Der Server auf dem die Domain läuft, versucht jede einzelne dieser Anfragen (1 Mio * 200.000 Anfragen pro Durchgang) zu beantworten und wird hoffnungslos überlastet. Das nennt man dann korrekt eine billige aber sehr erfolgreiche DDoS-Attacke