WordPress 란 ? ■ WordPress 개요 -PHP 기반으로 기본적으로 블로그 사이트를 제작하는데 이용됨 - 오픈소스이기 때문에 누구나 사용이 가능함 - 전세계 5000 만개 이상 구축되어 있으며 신규 구축되는 사이트의 ¼ 이 WordPress 로 구축되고 있음 - 수많은 확장 플러그인을 지원하며 커뮤니티에서 일일 2 만건의 신규 스킨이 업데이트 됨 출처 : Firstlook (CJ 에서 운영하는 쇼핑몰 ) 팝가수 제이슨 므라즈 CBS 뉴욕 ■ 대표적인 사례
WordPress PingBack 이란 ? ■ WordPress 의 PingBack 기능에 대한 이해 - 누가 자신이 게시한 포스트를 링크했는지 있는지 알 수 있는 기능 블로그 A 블로그 B ① A 는 B 의 포스트를 소개하 며 B 의 주소를 자신의 사이 트에 링크함 ② A 는 B 에게 PingBack API 를 호출하여 B 의 포 스트를 링크했다고 알려 줌 ③ B 는 누가 자신의 포스트를 링크했는지 확인이 가능함 -PingBack Request 예 : GET /keunggulan-abook-air-dibandingkan-dengan-ultrabook-samsung/ HTTP 1.1 User-Agent: WordPress/3.4.2; Host: blog.dimensidata.com B 의 포스트 주소 A 의 주소 B 의 호스트
WordPress 를 이용한 DDOS 공격 ■ DDOS 공격 개요 (naver.com 을 공격 한다고 가정 ) - 공격자는 전세계 WordPress 사이트의 xmlrpc.php 를 호출하여 으로 pingback Request 가 발생하도록 유 도 ① xmlrpc.php 에 pingback 데이터를 송 신 ② victim site 로 pingback 데이터가 송신됨 ③ 다수에 의해 Get 플러딩 공격이 발생 출처 :
HTTP Request Sample ■ 해커가 취약한 WordPress 사이트를 대상으로 PingBack 을 유도하는 Request POST /WordPress-3.5/xmlrpc.php HTTP/1.1 Accept: application/x-shockwave-flash, application/msword, */* Accept-Language: zh-cn User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0;.NET CLR ;.NET CLR ) Accept-Encoding: gzip, deflate Host: xxx.wordpress.com Content-Length: 301 pingback.ping GET / HTTP/1.1 Host: User-Agent: WordPress/4.0-RC3; Accept-Encoding: deflate;q=1.0, compress;q=0.5, gzip;q=0.5 Accept: */* ■ 에게 보내는 PingBack DDOS Http Request 공격 대상 URL Wordpress 로 제작된 사이트 URL
WordPress 로 구축된 사이트 수집 방법 ■ Google 에서 WordPress 로 구축된 사이트 정보 수집 검색 옵션
대응방안 ■ PingBack 기능을 제거하여 DDOS 의 Agent 로 악용되는 것을 방지 -xmlrpc.php 에 PingBack 을 Disable 하는 코드를 추가 예 : add_filter(‘wp_headers’, function($headers, $wp_query){ if(isset($headers[‘X-Pingback’])){ unset($headers[‘X-Pingback’]); } ■ 전세계 16 만 2 천개의 WordPress 사이트가 DDOS Agent 로 악용된다는 보고 출처 :