José C. García Gamero

Seguridad en Wordpress: Ataques mediante XML-RPC

Hace unos días publicaba un artículo en el que os hablaba de un intento de acceso a una de las webs que administro. En él os hablaba un poco de mi experiencia personal, además de contaros ciertos métodos que usaba para intentar mitigar ciertos tipos de ataques en WordPress.

Si recordáis bien, en ese artículo, os hablaba sólo de los intentos de login fallidos que provenían de diferentes Ip’s. Hablaba de la diferencia horaria de cada intento de login, además de que siempre resultaban ser en bloques de 3. A lo largo de esta semana, esos intentos de login fallidos se han ido repitiendo y quería ver si era simplemente un intento de login fallido o, detrás de eso, había algo más.  En primer lugar, me dirigí a uno de los paneles de administración de los que dispongo. Cuando fui a ver la estadística, para ver que páginas se estaban visitando a las horas en las que se producían los intentos de acceso, me di cuenta que, por casualidad y, sin entender todavía el motivo de que eso hubiese pasado, me encontraba con que las últimas estadísticas de las que disponía eran del mes de abril. Sorprendido por esto, mi mosqueo empezó a ser bastante importante y comencé a investigar más profundamente.

Comencé en primer lugar por comprobar si, en el servidor en el que tenemos alojadas las webs, había algo extraño. En principio no había nada. Todo era normal, salvo un incremento en el consumo de memoria RAM, algo extraño. Almacené ese dato en memoria, y continué mi búsqueda. Como uno de los datos principales de los que disponía, era la IP del atacante, comprobe en who.is de donde provenían. Se trataban de servidores de Amazon. Inmediatamente les hice el reporte correspondiente para que lo tuviesen en cuenta. A día de hoy, no me han contestado. Tratándose de IP’s que provenían de varios servidores de Amazon, el grado de mosqueo aumentó. Tenía que comprobar qué era lo que verdaderamente estaban buscando, o estaban haciendo.

Lo primero que hice fue buscar un par de plugins que vienen muy bien para este tipo de ataques. Uno de ellos es Wordference y otro BPS Security.

Prestando atención al firewall del que dispone Wordference, me di cuenta que todas las peticiones que provenían de servidores de Amazon, iban directas al fichero “xmlrpc.php”. En primer lugar ¿qué narices hace esto aquí?. Pues bien, era fácil. La última copia de seguridad de la web que se restauró, no estaba correctamente configurada en ese aspecto, y existía todavía el fichero xmlrpc.php. Para los que no sepáis de la importancia de tener desactivado este fichero, o incluso borrado, os lo explico a continuación. Imaginaros que queréis hacer un ataque DDOS a la web “victima.com”. Para ello necesitaríais un montón de equipos mandando peticiones a la vez a esa web, con lo cual, supondría infectar un montón de equipos. Mucho trabajo y tiempo. Teniendo varias webs con este fichero habilitado, necesitaríamos solamente un tiempo para encontrar las webs vulnerables y 2 segundos en copiar y pegar un comando en una consola Linux para realizar el ataque. Así de simple. Sin saberlo, nuestra web formaría parte de una botnet.

Precisamente a esto es, a lo que al parecer, se están dedicando estos servidores de Amazon. Están buscando webs con este fichero, para más tarde, poder utilizarlas como botnet y atacar a otra web. Si a eso le sumamos que los ataques provenían de servidores de Amazon, se hace más complicada la búsqueda del responsable. Por la cantidad de IP’s que han intentado acceder a ese fichero, deduzco que esos servidores han podido ser comprometidos. Es sólo una deducción.

Solución a este problema:

Sencillamente, no quería andarme con tonterías. Este fichero no es útil para nosotros, con lo cual, lo hemos borrado directamente. Además de esto, hemos seguido los pasos que podéis ver en esta web y que están muy bien explicados. No sólo explica como solucionar el problema, sino que, explica muy bien como se utiliza el ataque.

Como ya veis, no hay mal que por bien no venga. Cada fallo que cometemos nos enseña algo nuevo, y a mí, desde luego que esto me ha servido para aprender aún más.

 

 

Deja un comentario

Your email address will not be published.*
*
*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información ACEPTAR

Aviso de cookies