El archivo utilizado para realizar éste ataque de denegación de servicio es el archivo /xmlrpc.php.
El ataque consiste en realizar miles de peticiones POST, para verlo, podremos dar un vistazo en el archivo logs de nuestra web :
185.9.157.20 – – [01/Dec/2015:23:59:59 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.7 – – [01/Dec/2015:23:59:59 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.15 – – [01/Dec/2015:23:59:59 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.15 – – [02/Dec/2015:00:00:00 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.15 – – [02/Dec/2015:00:00:01 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
185.9.157.20 – – [02/Dec/2015:00:00:01 +0100] «POST /xmlrpc.php HTTP/1.0» 200 370 «-» «Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)»
Y miles de peticiones por Segundo más…
(ataque real ddos realizado a uno de nuestros servers)
Podemos ver la ip del atacante en concreto para saber desde dónde nos atacan:
http://iptool.xyz/185.9.157.7/
Normalmente lo que intentan conseguir es desbordar la cpu de nuestra máquina y hacer caer nuestros servicios. Por eso es importante tener todos nuestros servers monitorizados y poder parar el ataque lo antes posible.
Para mitigar el ataque ddos de denegación de servicio tenemos distintas opciones:
1.- Comentar temporalmente el archivo /xmlrpc.php o renombrarlo.
2.- Desde el administrador de wordpress tenemos la posibilidad de deshabilitar los pingbacks y trackbacks, para ello iremos a ajustes comentarios y deshabilitaremos la opción Permitir notificaciones de enlaces de otros blogs (pingbacks y trackbacks) en los nuevos artículos. Pasado el ataque podremos volver a activarlo.
3.- Bloquear las ips atacantes desde el server.
4.-Bloquear mediante el vhost de nginx o de apache.
Sobretodo tenemos que mantener wordpress actualizado a la última versión y tambien todos los plugins y themes de nuestra web.