In eigener Sache – Ausfall wegen Attacke auf XMLRPC.php

Mein Blog war nicht erreichbar. Mein Hoster hat ihn abgeschaltet. Der Grund war laut Support eine Brute Force Attacke auf die Datei xmlrpc.php, die geschützt werden müsste. Sie können sich vorstellen, dass ich ziemlich ungehalten bin. Es ist das zweite Mal innerhalb kürzester Zeit, dass mein Hoster meinen Account stillgelegt hat und ich erst nach Rückfrage überhaupt eine Information erhielt. Aber dazu weiter unten. Jetzt erstmal zu der misslichen Sache.

Brute Force Attacke ja oder nein?

Wie erkennt man eine Brute Force Attacke?  Nun ja, ich habe mir das so genannte Access-Protokoll per FTP heruntergeladen. Wie das bei Ihnen ist, kann ich nicht sagen, aber irgendetwas in der Art ist es mit hoher Sicherheit. Und das bin ich mal durchgegangen. Und dort fand ich solche Einträge:

<IP-Adresse> - - [19/Nov/2014:02:59:15 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" www.henning-uhle.eu

Ja, ziemlich viele. Sehr viele sogar. Der Support meinte, dass denen das sehr spanisch vorkam und alles auf einen Angriff deutete. Kurz vor 18 Uhr hätten sie das wohl festgestellt und sozusagen die Notbremse gezogen. Der letzte Eintrag hierzu war dann tatsächlich um kurz vor 6. Aber etwa eine halbe Stunde vorher war eine größere Welle von Zugriffen. Wenn man das Log richtig deutet.

Was tun?

Der Support meinte, man soll die Datei xmlrpc.php schützen. Es gäbe Unmassen von Anleitungen dazu im Internet. Man muss es eben nur machen. Es wäre halt ein pausenloser Angriff auf Blogs mit WordPress unter dem Hintern. Und dieses Mal war ich eben dran. Das war grob die Erklärung. Also suchte ich und fand etwas, was in meiner Datei .htaccess fehlte. Nämlich der Schutz der xmlrpc.php. Man öffnet also die .htaccess und trägt folgendes mit ein:

<Files "xmlrpc.php">
Order Allow,Deny
deny from all
</Files>

Und nach dem Speichern und erneutem Hochladen ist dann die xmlrpc.php geschützt. So habe ich es dann auch gemacht.

xmlrpc.php?

Was ist denn eigentlich diese Datei? Sie ist ziemlich die prominenteste Datei eines WordPress-Blogs. Ich verstehe, dass die Datei geschützt werden sollte. Nachdem ich das eigentlich über mein Sicherheitsplugin so eingestellt hatte, war ich mir der Gefahr durchaus bewusst. Das Problem: Ich hatte keine Prüfung der .htaccess vorgenommen. Sonst hätte ich festgestellt, dass die Einstellung dort nie angekommen ist.

Jedenfalls ist diese Datei die Schnittstelle für den Pingdienst. WordPress-Blogs kann man wunderbar untereinander vernetzen. Man pingt einen anderen Blog durch einen stinknormalen Link an. Und dadurch entsteht ein Ping und beim verlinkenden Blog ein Pingback. Dieser Mechanismus wird immer wieder für Angriffe ausgenutzt. Ich las immer wieder darüber. Deshalb war ich mir ja auch der Gefahr bewusst. Nun ist sie geschützt.

Die Aktion meines Hosters

Ich kann verstehen, dass die Admins meines Hosters reagieren mussten. Nachdem ich es im Log gesehen habe, was da passiert ist, habe ich denen geglaubt. Aber ich halte nach wie vor nichts davon, Webseiten zu sperren und nicht mal Zugang zu ermöglichen. Ich meine, dass man das auch anders lösen kann. Das ist nun das zweite Mal, dass ohne meine Schuld der Blog gesperrt wurde. Und das hebt nicht unbedingt mein Vertrauen in den Hoster.

Die Firma macht es einem Kunden nicht gerade schwer, sich nach neuen Angeboten umzusehen. Mein Geduldsfaden steht kurz vorm Zerreißen. Ich werde mir in jedem Fall Angebote einholen und vergleichen. Das kann ich mir nicht gefallen lassen.

Ich bin nach wie vor stinksauer. Auf mich, weil ich nicht sorgfältig genug geprüft habe und mich auf ein Plugin in WordPress verlassen habe. Auf den Plugin-Entwickler, da das Plugin nicht sauber genug gearbeitet hat. Aber eben auch auf meinen Hoster, weil man es als selbstverständlich ansieht, einfach mal Zugänge zu sperren. Und hier werde ich mir gründlich überlegen, wie ich zukünftig verfahre.

3 Replies to “In eigener Sache – Ausfall wegen Attacke auf XMLRPC.php”

  1. Interessant! Bin gespannt ob jetzt deine Trackbacks und Pingbacks noch funktionieren? Ich glaube auch mal gelesen zu haben das die WordPress App für meine Smartphone dann nicht funktionieren würde!

    Wie gesagt falls die Trackbacks nicht mehr funktionieren dann würde ich die Ursache bei … suchen! Ich würde da nicht verzichten wollen!

    1. Es wirft auf jeden Fall einen merkwürdigen Schatten auf meinen Vertragspartner. Ich habe grad getestet: Ein Pingback wurde gerade rausgesendet. Also so schlimm scheint es nicht zu sein. Aber es riecht nach Wechsel zu einem anderen Vertragspartner.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert