آی پی امداد
آی پی امداد
آریا الکترونیک parcham تکشو

آموزشی: غیر فعال کردن قابلیت XML-RPC | امنیت سایت

dbchista

کاربر
2020-12-02
494
418
آذرشهر
dbchista.ir
سلام
وقتتون بخیر

اصلا XML-RPC چی هست؟
پروتکل فراخوانی دستورها از راه دور

مثلا شما بتونید با گوشی همراه تون تو وب سایت تون، پست بذارید.

حالا می خوایم این قابلیت رو غیرفعال کنیم چون امکان حملات DDOS رو میبره بالا.

برید تو هاست تون و این کد رو تو فایل htaccess. قرار بدید:
<Files xmlrpc.php>
order deny,allow
deny From all
allow From 123.123.123.123
<Files/>​
یه نکته هم عرض کنم راجع به خط allow From 123.123.123.123 :
این خط به خاطر این هست که فقط یه دستگاه خاص رو استثنا کنیم.

مثلا فقط مدیرکل سایت یا فقط برنامه نویس ارشد بتونه این دسترسی رو داشته باشه.

که در این صورت، به جای 123.123.123.123 ، آی پی دستگاه مورد نظر رو وارد می کنیم.

اگه این دسترسی رو به هیچ کس نمی خواید بدید، این خط رو حذف کنید.

ناگفته نمونه که روش های دیگه ای هم هست برای غیرفعال کردن این قابلیت.
خوشحال میشم تکمیلش کنید.

خودم هم تو فرصت های بعدی، در مورد روش های دیگه هم صحبت می کنم.

لحظه هاتون پر ازحس های خوب:angel:
 

Mersad1116

VIP+ افتخاری
کاربر
2018-11-26
448
901
اصفهان
aqayetamir.ir
روش های دیگه ای مثل استفاده از افزونه xmlrpc disable و یا تغییر پرمیژن این فایل از 664 به 400، و یا نوشتن تکه کدی در فایل functions.php اما بهترین و بی نقص ترینیش همون موردی هست که فرمودین، نوشتن کدی که گفتین در فایل .htaccess چون در موارد دیگه با بروز رسانی هسته وردپرس مجدد فایل xmlrpc.php فعال میشه
تشکر از آموزش های شما
 
  • Like
واکنش‌ها[ی پسندها]: dbchista

dbchista

کاربر
2020-12-02
494
418
آذرشهر
dbchista.ir
سلام

مستقیم بریم سر اصل مطلب.
قبلا گفتیم که اگه قابلیت XML-RPC فعال باشه واسه سایت خطر امنیتی داره و گفتیم ممکنه سایت رو مورد حملات DDOS قرار بدند.
چطوری این اتفاق میفته؟
مهاجم از ویژگی pingback وردپرس استفاده می کنه تا برای هزاران سایت pingback ارسال کنه.
این ویژگی xmlrpc.php، تقریبا بی پایان آدرس IP رو برای حمله به هکرها میده و هکرها هم از فرصت استفاده می کنند.

یه مشکل دیگه هم هست که تو فرصت بعدی بهش اشاره می کنم.
تکمیل کنید خوشحال میشم.
سوالی داشتید درخدمتم.

دل هاتون پر از لبخند:angel:
 

Mersad1116

VIP+ افتخاری
کاربر
2018-11-26
448
901
اصفهان
aqayetamir.ir
سلام

مستقیم بریم سر اصل مطلب.
قبلا گفتیم که اگه قابلیت XML-RPC فعال باشه واسه سایت خطر امنیتی داره و گفتیم ممکنه سایت رو مورد حملات DDOS قرار بدند.
چطوری این اتفاق میفته؟
مهاجم از ویژگی pingback وردپرس استفاده می کنه تا برای هزاران سایت pingback ارسال کنه.
این ویژگی xmlrpc.php، تقریبا بی پایان آدرس IP رو برای حمله به هکرها میده و هکرها هم از فرصت استفاده می کنند.

یه مشکل دیگه هم هست که تو فرصت بعدی بهش اشاره می کنم.
تکمیل کنید خوشحال میشم.
سوالی داشتید درخدمتم.

دل هاتون پر از لبخند:angel:

جدای از حملات ddos, حمله ای رایج تر از طریق فایل xml-rpc.php در مدیریت محتوای وردپرس حمله از نوع ترکیبی brute force و sql injection هست که با کنترل ارسال و دریافتی های سمت کلاینت و با استفاده از ابزار برپ سوئیت و ارسال کد های sql از طریق متد get و post هکر امکان دسترسی به دیتابیس رو پیدا میکنه, که بسیار خطرناک تر از حملات ddos هست، حملات از نوع ddos نیازمند سخت افزار بسیار قوی برای ارسال پاکت های سنگین هست اما حمله ای که مطرح کردم با یک سخت افزار بسیار ساده و قدیمی هم میشه این نوع حمله رو انجام داد(حتی با تلفن همراه)
در حملات ddos هکر با استفاده از پروکسی سرور بینهایت آیپی تولید میکنه و با استفاده از pingback شروع به ارسال پاکت به سمت سرور وب سایت میکنه و باعث ایجاد شدید ترافیک در سرور میشه و در نهایت ترافیک در حدی بالا میره که سرور قادر به پاسخ دادن نیست و از کار می افته (هنگ میکنه)
در هر صورت حتی بدون استفاده از xmlrpc.php از طریق حملات ddos میشه هر شبکه و وب سایتی رو مختل کرد ولی این نوع حمله همونطور که گفتم نیازمند سخت افزار های قدرتمند هست که تنها در حملات سازمان یافته بیشتر مورد استفاده قرار میگیره
 
آخرین ویرایش:
  • Like
واکنش‌ها[ی پسندها]: dbchista

dbchista

کاربر
2020-12-02
494
418
آذرشهر
dbchista.ir
سلام
امروز کمی خسته ام ولی دلم نمیاد این موضوع رو تکمیلش نکنم:

برای اینکه بدونید XML-RPC تو سایت شما در حال اجراست یا نه می تونید از ابزاری به اسم XML-RPC Validator استفاده کنید.
اگه پیام خطا گرفتید یعنی XML-RPC رو فعال نکردید.

اینطور که صداش میاد احتمالا ویژگی های خوب XML-RPC تو API های جدید وردپرس ادغام بشند بدون اینکه به امنیت آسیب برسونند.


خسته شدن های گهگاه دست خود ما نیست اما دوس دارم سر کاری که دوسش دارید خسته بشید و بعدش دوباره برگردید سر برآورده کردن آرزوهاتون.
خستگی امروز من سر کاری بود که دوسش دارم و برای همینم خسته اما خوشحالم:angel:
 

Mersad1116

VIP+ افتخاری
کاربر
2018-11-26
448
901
اصفهان
aqayetamir.ir
با زدن آدرس به شکل زیر و باز شدن صفحه وب با متنی که در تصویر هست هم میشه متوجه فعال بودنxmlrpc شد
mysite.com/xmlrpc.php
Screenshot_20210105-214127.jpg
 
بالا