Cybervandalen hebben een site platgelegd met een DDoS-aanval via 162.000 Wordpress-sites, melden onderzoekers van beveiligingsbedrijf Sucuri. Het zouden er volgens de onderzoekers waarschijnlijk nog veel meer zijn geworden als de aanval niet was gepareerd door XML-calls te blokkeren.

XML-methode misbruikt

Het gaat hier niet om het gevreesde serverbotnet, waarbij slecht beveiligde Wordpress-sites worden overgenomen om in te zetten bij dit soort malafide activiteiten. De laatste tijd proberen hackers binnen te komen met adminrechten op zoveel mogelijk sites om ze op die manier te exploiteren. Dat kan vaak als de beheerder bijvoorbeeld een standaardwachtwoord gebruikt of het CMS ongepatcht laat.

In dit geval werd een XML-procedure misbruikt om een DDoS-aanval uit te voeren. De aanvallers gebruikten het RPC-XML-protocol waarmee serveraanvragen worden verwerkt. Sucuri heeft een tool beschikbaar gesteld waarmee Wordpress-beheerders kunnen zien of ze toevallig bij een van de 162.000 misbruikte sites behoren.

Filter voor calls

Sucuri raadt gebruikers aan om een filter te gebruiken voor RPC-XML-aanvragen. Ars Technica adviseert sitebeheerders om eerst goed te analyseren wat daar de gevolgen van zijn, aangezien het protocol wordt gebruikt voor functionele doelen.