数千万WordPress和Drupal站点存在DDoS风险

  近日,白帽子Nir goldshlager发现了WordPress和Drupal存在DDoS攻击风险,受影响的版本为WordPress 3.5 – 3.9和Drupal 6.x – 7.x,根据维基百科的数据,使用WordPress的站点可能超过6千万,更有超过100万的Drupal网站。

  数千万WordPress和Drupal站点存在DDoS风险

  漏洞影响范围:

  WordPress 3.5 – 3.9 默认配置

  Drupal 6.x – 7.x 默认配置

  漏洞造成的影响:

  站点无法正常运行,CPU满负荷。

  数千万WordPress和Drupal站点存在DDoS风险

  数千万WordPress和Drupal站点存在DDoS风险

  数千万WordPress和Drupal站点存在DDoS风险

  处理办法:

  升级WordPress和Drupal,或者直接删除xmlrpc.php。

  测试视频:

  http://player.vimeo.com/video/102709635

  PoC仅供把自己搞死机,请勿用于非法用途:

  https://docs.google.com/file/d/0B2-5ltUODX1Lc3pGV0FjbUk4bjA/edit?usp=sharing

  更多关于此漏洞的详细说明请见:

  http://www.breaksec.com/?p=6362

  http://thehackernews.com/2014/08/millions-of-wordpress-and-drupal.html

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:应用层慢速DoS攻击压力测试工具 – SlowHTTPTest