Anatomie eines Angriffs

Anfang der Woche wurde mein Server Opfer eines DDoS-Angriffs, der zeitweise dazu geführt hat, dass sämtliche Websites darauf wegen massiver Überlastung nicht mehr erreichbar waren. Ziel des Angriffes war offensichtlich ein Versuch, die Pingback-Lücke von WordPress auszunutzen, über die bereits im März berichtet wurde.

Update 2014-08-07: Tatsächlich wurde wohl ein Problem von PHP im Zusammenhang mit XML ausgenutzt, siehe auch diesen Beitrag dazu.

Innerhalb kurzer Zeit wurden zehntausende POST-Anfragen mit xmlrpc.php als Ziel ausgeführt. In Folge dessen hatte der Server schließlich eine Load von 180 (normal sind Werte von 0,5 bis 1,5) bei einem Speicherverbrauch von rund 30 GB (statt der sonst üblichen 5-6 GB) und war dadurch zeitweise praktisch nicht mehr ansprechbar.

Munin-Diagramm, Apache

Nachdem meine Websites weder Pingback noch Trackback erlauben, blieben die Auswirkung dieses Angriffes erfreulicherweise auf meinen Server beschränkt. Auch Datenverluste oder Manipulationen gab es keine.

Als erste Abhilfe wurde der Zugriff auf xmlrpc.php eingeschränkt, so dass ich selbst zwar weiterhin eigene Anwendungen darüber nutzen kann, aber Angreifer nicht mehr weit kommen. Zugriffsversuche nach dem Muster http://arnowelzel.de/xmlrpc.php oder http://arnowelzel.de/xmlrpc.php werden jetzt mit Status 403 abgelehnt.

Der Angriff dauerte noch einige Stunden an – hatte aber durch diese Maßnahme keine Auswirkung mehr.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.