myGully.com

myGully.com (https://mygully.com/index.php)
-   News (https://mygully.com/forumdisplay.php?f=390)
-   -   Attacks Exploiting XMLRPC in WordPress (https://mygully.com/showthread.php?t=3627807)

blueberry2009 05.02.15 22:11
Attacks Exploiting XMLRPC in WordPress
 
Zitat:
Titel

Kritische Sicherheitslücke in Wordpress


{Deine Wordpress Installation Prüfen}



XMLRPC.php Diese Datei befindet sich auf Ihrem Server und gehört zu Ihrer WordPress Core.
Bitte schützen Sie diese Datei vor Hacker Angriffen! Die XMLRPC.php ist Teil eines neuen Brute Force Angriffs auf Ihre WordPress Webseite. Sollten Sie sich nicht geschützt haben oder wissen nicht wie Sie sich schützen können, habe ich hier ein paar Tipps für Sie zusammengefasst.
Rufen Sie als erstes in Ihrem Browser [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Sollte jetzt folgende Meldung erscheinen:

XML-RPC server accepts POST requests only.

Sind Sie einer Aktuellen akuten Gefahr ausgesetzt!
Der Angreifer hat es dabei nicht auf Ihre WordPress Admin Login Url abgesehen, sondern er geht einen einfacheren Weg über die XMLRPC.php. Dieser Angriff ist möglich, weil viele Aufrufe in der WordPress XMLRPC Implementierung abfragen von Benutzernamen und Passwort schon bei ihrem eigenen Login benötigt werden.

Ich habe herausgefunden das mit dem XMLRPC Angriff, Passwörter und Login Daten der WordPress Webseite schneller gefunden sind, als mit der älteren Methode, der Admin URL. Ich nehme an, das Hacker dies bereits aktiv ausnutzen. Der Angriff in der Aktuellen WordPress Version ist deshalb möglich, da viele Login Daten wie Benutzername und Passwort über die WordPress XMLRPC Implementierung laufen.

Ich selbst bin nur durch Zufall auf diese Schwachstelle aufmerksam geworden, da gestern die WordPress Webseite eines entfernten bekannten gehackt worden war und er mich zur Hilfe rief. Ich erkannte sofort das der Angreifer gezielt die xmlipc.php mehrmals aufgerufen hat. Die Lücke ist bereits seit Juli 2014 beckannt, leider ist bis Dato nicht ein WordPress Blog gepatcht den ich gestestet habe.

So sieht die Zeile aus, die der Angreifer zu sehen beckommt.
< methodCall>methodName >wp.getUsersBlog <sting >DEIN ADMIN BENUTZERNAME< /sting> </value> </parm> <parm> <value >string>DEIN PASSWORT < /parm>

(Dein Benutzername und das Admin Passwort werden dem Angreifer sichtbar gemacht)

Im Internet konnte ich weitere Informationen, insbesondere in englischer Sprache dazu finden. Diese Angebote waren jedoch zum großteil kommerziell wie sucuri.net In einem Blogbeitrag von sucuri wird beschrieben das es dazu noch keine Abhilfe gibt, ich nehme an die Sicherheitsexperten wollen Ihre Dienstleistung diezbezüglich verkaufen.

Das Modifizieren der Datei ist in einer Minute erledigt.

Öffnen Sie dazu Ihre .htaccess auf Ihrem Server und ergänzen Sie bitte folgenden Code:
< Files xmlrpc.php >

Order Deny,Allow Deny from all

< /Files >

Es gibt für dieses Problem einen weiteren Lösungsweg Entweder man schreibt die Zeilen selbst um, was der “Sichere Weg” ist oder Sie installieren Wordfence das ich in einem Seperaten Post getestet habe.

Quelle: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Bady23 05.02.15 23:49
Danke für Info, muss ich mich gleich mal um meine WP Seite kümmern. :dozey:


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:38 Uhr.

Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.