数千万WordPress和Drupal站点存在DDoS风险

没穿底裤
没穿底裤
没穿底裤
714
文章
0
评论
2020年1月1日05:07:02评论332 views字数 544阅读1分48秒阅读模式
摘要

近日白帽子Nir goldshlager发现了WordPress和Drupal存在DDoS攻击风险,受影响的版本为WordPress 3.5 – 3.9和Drupal 6.x – 7.x,根据为维基百科的数据,使用WordPress的站点可能超过6千万,更有超过100万的Drupal网站。

近日白帽子Nir goldshlager发现了WordPress和Drupal存在DDoS攻击风险,受影响的版本为WordPress 3.5 – 3.9和Drupal 6.x – 7.x,根据为维基百科的数据,使用WordPress的站点可能超过6千万,更有超过100万的Drupal网站。

漏洞影响范围:

WordPress 3.5 – 3.9 默认配置 Drupal 6.x – 7.x 默认配置

漏洞造成的影响:

站点无法正常运行,CPU满负荷。

数千万WordPress和Drupal站点存在DDoS风险

 

数千万WordPress和Drupal站点存在DDoS风险

 

数千万WordPress和Drupal站点存在DDoS风险

 

处理办法:

升级WordPress和Drupal,或者直接删除xmlrpc.php。

测试视频:

http://player.vimeo.com/video/102709635

PoC仅供把自己搞死机,请勿用于非法用途:

https://docs.google.com/file/d/0B2-5ltUODX1Lc3pGV0FjbUk4bjA/edit?usp=sharing

更多关于此漏洞的详细说明请见:

breaksec

THN:millions-of-wordpress-and-drupal

PS:

早上被ztz大牛那么一秒就挂了。
数千万WordPress和Drupal站点存在DDoS风险
各路大神,放过小站吧,站长苦逼早上起来看见了,但是没在意,被大牛们教育了一通,现在刚刚原地复活还处于虚弱状态····

/(ㄒoㄒ)/~~

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
没穿底裤
  • 本文由 发表于 2020年1月1日05:07:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数千万WordPress和Drupal站点存在DDoS风险https://cn-sec.com/archives/75709.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息