2014-03-13
DoSの踏み台にされているJPドメインのWordPressをまとめてみた
インシデントまとめ | |
Krebsが自分のサイト(KrebsOnSecurity)に対して41,000超のWebサイトからDoSを受けていると報告しています。
for those asking, my site is currently being ddosed via pingback feature in a ton of Wordpress sites URL
according to the logs, looks like there are > 34,000 wordpress blogs attacking my site. that's a special kind of crazy.
it's actually 41,000+ wordpress blogs whose pingback feature is being abused. the full list of sites is here URL
このDoSはWoredpressのpingbackを悪用したものらしく、先日、Sucuriもpingback機能を悪用したDoSについて報告していました。
- More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack
- WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 - ITmedia エンタープライズ
pingbackを悪用したDoS方法
pingbackはハイパーリンクを設置したことを通知する仕組みですが、リモート投稿(XMLRPC)の機能(WordPressのxmlrpc.php)に対して次のPOSTを送信するとそのWebサイトから対象に対してpingbackが行われます。
<methodCall><methodName>pingback.ping</methodName><params><param><value><string>(DoS対象のURL)</string></value></param><param><value><string>(踏み台サイトのURL)/postchosen</string></value></param></params></methodCall>
これを多数のWordPressのサイトに一斉に行うことで特定のサイトに対して集中的にpingbackが送信されDoS攻撃になります。
XML-RPCはWordpress3.5から既定で有効化されているようです。3.5以上のWordpressを運用しているサイトは自サイトが踏み台となる可能性がないか要確認でしょう。
DoSの踏み台にされる可能性があるかどうかのチェック方法
SucuriがWordPressをDoSの踏み台にすることが可能かかどうかチェックするサイトを公開しています。
Sucuri Research LabsSucuri Is my WordPress Site DDOS’ing others?
DoSの踏み台にされる可能性がある場合
次のように「Warning」と表示されます。また踏み台にされた(またはされた可能性のある)場合に、どのようなアクセスログが残るかについても記述があります。
問題がない場合
踏み台にされる可能性がない場合は次のように表示されます。
DoSの踏み台にされないための対策
Sucuriは対策として次の2つを取り上げています。
XML-RPC機能の無効化
WordPress 3.5以降は機能が既定で有効となり、設定画面から設定項目が消えてしまっているようです。無効化するにはfunctions.phpに設定を記述する方法があるようです。
プラグインを追加(pingback機能の無効化)
Sucuriは次の様なプラグインを追加することでpingbackを使ったDoS対策方法の1つとして紹介しています。
add_filter( ‘xmlrpc_methods’, function( $methods ) {
unset( $methods['pingback.ping'] );
return $methods;
} );
また、XML-RPCのpingback機能を無効化するプラグインが公開されていました。townlabさんにはてブコメントで教えていただきました。ありがとうございます:D
Pingback DoSの影響に関するコメント・評価等
Twitter上で自分のボヤキに対して今回のDoSの影響などについて反応を頂き参考になったのでまとめます。
tarackback ping とかもう過去の遺産に近い感じ
2014-03-14 09:21:47 via web
単純な物量でのDoSって面白みないけど、経路上にアンプ機能持たせたようなDoSやアルゴリズム・ロジックを狙って機能停止させるようなDoSは技術的な面白みがある。(面白がってるわけではありません
2014-03-14 10:56:47 via web
URL 「WordPressのpingback機能がDDoSの踏み台になってるやつ、このプラグインを入れとけば踏み台にならない。たぶんならないと思う。ならないんじゃないかな。まちょっと覚悟はしとけ」 by @ym405nm
2014-03-14 09:03:51 via web
pingbackのDoSって受け手側もpingback受ける機能なければDoSにならないという理解でいいのだろうか
受ける側の性能諸元にもよるか
2014-03-14 10:43:50 via TweetDeck to @piyokango
@piyokango pingbackを受ける機能がなければ小さいPOSTを(踏み台ひとつにつき)ひとつ受けるだけなので大したDoSにはなりませんね。受ける機能がある場合は踏み台サイトのコンテンツを取得しその中身を解析するという、大きくリソースを喰う処理が走ります
2014-03-14 10:52:06 via web to @piyokango
@hasegawayosuke ありがとうございます。やはりそうですよね。 受け側の話題はあまり見かけなかった(mattnさんの記事ぐらい)ので気になっていました。
@piyokango いずれにしろ、これアンプとしての増幅度そんなに大きくない(せいぜい数倍程度?)と思うので、あんまり攻撃者にとって効率的なDoSじゃない気がしますね。
2014-03-14 11:03:28 via web to @piyokango
@hasegawayosuke @piyokango pinbackの仕様として、踏み台サイトにアクセスして確認するみたいですが、この踏み台サイトに重いデータがあれば結構処理が走るんでしょうか。かなり限定的でしょうが。
2014-03-14 11:20:55 via web to @hasegawayosuke
@ym405nm @piyokango だと思います。踏み台サイトが遅い、巨大なコンテンツを返す、大量のURLが含まれてる、みたいな状態だと、その解析にリソースが喰われるというのはあると思います。
2014-03-14 11:30:17 via web to @ym405nm
踏み台にされていると報告されたリスト
KrebsがDoSの踏み台にされているとして、Wordpressのリストを公開しています。
ここからJPドメインだけ抽出してみました。全部で969個あります。*1co.jpやac.jpは多数、1つだけですがgo.jpもあるようです。IPアドレスで記載があるものは名前解決できたサイトのみを抽出したので漏れがあるかもしれません。
追記
このリストはKrebsが自分のサイトに対してDoSを行っていると報告しているサイトの一覧です。「リストに載っていない=問題がない」ではないのでご注意ください。踏み台にされる状態かは上で紹介しているチェックはSucuriのサイトを使うとお手軽です。
http://119.18.217.71(t217-71.dedicated.clara.ne.jp)
http://119.245.152.124(sccp.jp)
http://133.242.152.134(www7120ui.sakura.ne.jp)
http://133.242.179.204(www4430gi.sakura.ne.jp)
http://133.242.184.206(www13192ui.sakura.ne.jp)
http://133.242.187.229(www14455ui.sakura.ne.jp)
http://133.242.190.187(www16173ui.sakura.ne.jp)
http://133.242.191.87(www16313ui.sakura.ne.jp)
http://153.121.37.16(www3242uo.sakura.ne.jp)
http://157.7.132.163(v157-7-132-163.myvps.jp)
http://157.7.137.200(v157-7-137-200.myvps.jp)
http://157.7.143.241(v157-7-143-241.myvps.jp)
http://157.7.143.40(v157-7-143-40.myvps.jp)
http://157.7.152.131(v157-7-152-131.z1d1.static.cnode.jp)
http://157.7.152.193(v157-7-152-193.z1d1.static.cnode.jp)
http://157.7.198.196(v157-7-198-196.myvps.jp)
http://157.7.200.190(v157-7-200-190.z1d3.static.cnode.jp)
http://157.7.201.248(v157-7-201-248.z1d3.static.cnode.jp)
http://202.133.112.223(kvps-202-133-112-223.secure.ne.jp)
http://204.227.174.2(zisin.or.jp)
http://210.152.137.107(s210-152-137-107.z-cloud.jp)
http://210.236.40.76(ns.geoplan.co.jp)
http://210.236.51.27(51h027.sdx.ne.jp)
http://210.236.51.40(51h040.sdx.ne.jp)
http://49.212.182.241(www20227ue.sakura.ne.jp)
http://49.212.186.184(www21170ue.sakura.ne.jp)
http://airsea.as.maritime.kobe-u.ac.jp
http://alumni.hamako-ths.ed.jp
http://anysquare.japanlink.ne.jp
http://archive.lightpublicity.co.jp
http://autonomous.complex.ist.hokudai.ac.jp
http://blog.infinity-solutions.jp
http://blog.mech.hi-tech.ac.jp
http://challenge100.cyberagent.co.jp
http://cube.kuee.kyoto-u.ac.jp
http://devsci.isi.imi.i.u-tokyo.ac.jp
http://diversity.tsukuba.ac.jp
http://english.ryukyushimpo.jp
http://forum.hibikinosato.co.jp
http://fukuoka-dietitian.or.jp
http://go-kaku.kitasato-u.ac.jp
http://grampus.cog.human.nagoya-u.ac.jp
http://help.mobileserver.ne.jp
http://ieshima-kaken.soc.shimane-u.ac.jp
http://kaigyou.dreamgate.gr.jp
http://keisoku.toyosystem.co.jp
http://kinoshitaseisakusho.co.jp
http://kodaira-furusatomura.jp
http://marineworld.hiyoriyama.co.jp
http://minmin.geo.kyushu-u.ac.jp
http://mizumotoorangegarden.co.jp
http://new-graduates.inte.co.jp
http://nitobe-college.academic.hokudai.ac.jp
http://nosai-osakafuhokubu.or.jp
http://recruit.kashiwabara.co.jp
http://satolab.iis.u-tokyo.ac.jp
http://shiba.iis.u-tokyo.ac.jp
http://shudo04.is.titech.ac.jp
http://star.polym.kyoto-u.ac.jp
https://www.artfiberendo.co.jp
https://www.ecodrive-leader.jp
https://www.higashi-no-shoku-no-kai.jp
http://tsuzuki-ac.sv.yc.tcu.ac.jp
http://v157-7-143-127.myvps.jp
http://v157-7-201-226.z1d3.static.cnode.jp
http://wp-demo.northcave.sakura.ad.jp
http://www10210ui.sakura.ne.jp
http://www.ais.shinshu-u.ac.jp
http://www.azul.systems-noel.jp
http://www.bioimaging-group.jp
http://www.business-college.jp
http://www.cc.kagoshima-u.ac.jp
http://www.daiichi-suisan.co.jp
http://www.doimoi-collections.jp
http://www.eng.ed.shizuoka.ac.jp
http://www.fuji-info-systema.co.jp
http://www.fukushishimbun.co.jp
http://www.hamanakodenso.co.jp
http://www.happiness-rental.co.jp
http://www.hayashioffice.co.jp
http://www-hi.comlab.soft.iwate-pu.ac.jp
http://www.hiroshima-shinbouai.ed.jp
http://www.hitachifudoki1300.jp
http://www.horizon-management.jp
http://www.innoshimakikai.co.jp
http://www.ipe.media.kyoto-u.ac.jp
http://www.isahaya-highschool.ed.jp
http://www.ito-kenoshokutaku.jp
http://www.iwamotokinzoku.co.jp
http://www.iwate-job-matching.jp
http://www.kaisekino-sennari.co.jp
http://www.ken-ou-rotary.gr.jp
http://www.kichijoji-st-c.or.jp
http://www.kitagawa-denki.co.jp
http://www.kobeshukugawa.ac.jp
http://www.kochi-bunkazaidan.or.jp
http://www.kosenforum.kosen-k.go.jp
http://www.kurimura-systems.co.jp
http://www.kurobe-unazukionseneki.jp
http://www.kyushu-seimitsukiki.co.jp
http://www.michinokugolf.co.jp
http://www.mt.hirosaki-u.ac.jp
http://www.muse-tokorozawa.or.jp
http://www.nagomipharmacy.co.jp
http://www.na.scitec.kobe-u.ac.jp
http://www.nhdr.niigata-u.ac.jp
http://www.nichibeiresin.co.jp
http://www.nihon-samicon.co.jp
http://www.nippon-heater.co.jp
http://www.nishinihon-kojintaxi.or.jp
http://www.ohya.gits.waseda.ac.jp
http://www.pdcc.shizuoka.ac.jp
http://www.phoenix-sanko.co.jp
http://www.pinkribbon-kanagawa.jp
http://www.sotetsufudosan.co.jp
http://www.spo.osaka-sandai.ac.jp
http://www.takahashi-sekizai.co.jp
http://www.tokumie-dk-hvactk.co.jp
http://www.tokyoislands-net.jp
http://www.toukaikoutetsu.co.jp
http://www.town.nagatoro.saitama.jp
http://www.turuoka-kyoritu-hp.or.jp
http://www.uenet.hiroshima-u.ac.jp
http://www.xn--av-mh4a6a5bzitewb6c.jp
http://www.yanagawa-fk-ja.or.jp
http://www.yoshikawa-fh.nplus-net.jp
http://www.zenkokuhojinkai.or.jp
http://xn--gckr3f0fr34x492a.jp
http://xn--t8j2kja0uwbb6046k.jp
http://y7.s316v.smilestart.ne.jp
参考
- 多数の.JPサイトも踏み台化:今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃 - @IT
- WordPress の「PingBack(ピンバック)」が DDoS 攻撃の踏み台に - インターネットコム
- Big Sky :: WordPress のトラックバック機能が危ない
- WordPressが攻撃の踏み台にされた時に管理画面からWordPressを全停止する方法
更新履歴
3/13 AM 新規公開
3/14 AM 対象リストにJPドメイン以外が含まれていた箇所、及び一部誤字を修正。
3/14 PM pingback DoSに関するコメントを追加。