Die XMLRPC.PHP – Nachbetrachtung einer Attacke

Ich habe dieser Tage die XML.RPC.PHP ausgeschaltet und werde sie nicht wieder anschalten. Dennoch möchte ich mal kurz darauf eingehen, was am Ende war. Denn es ist ja oftmals so, dass man sich denkt, dass der Anbieter für irgendeine Dienstleistung übertreibt, wenn dieser sich auf Sicherheitsaspekte beruft und deshalb eine Abschaltung empfiehlt. Allerdings muss ich leider sagen, dass Alfahosting als mein Hosting-Anbieter keineswegs übertrieben hatte, als man mir empfahl, die Pingback-Schnittstelle aus Sicherheitsgründen abzuschalten. Folgendes ist der handfeste Grund dafür.

Top-Seiten meiner Webseite, auf die im März zugegriffen wurden
Top-Seiten meiner Webseite, auf die im März zugegriffen wurden

Ich mache keinen Hehl daraus, dass in dem Screenshot aus den Statistiken von Alfahosting auch Plugin-Dateien zu sehen sind. Aber Sie sehen ganz oben in der Liste die Datei XMLRPC.PHP. Wie ich bereits mehrfach ausführte, ist diese Datei für die Pingbacks zwischen Blogs zuständig und ein ständiges Einfallstor und ein Unsicherheitsfaktor. In den ersten acht Tagen im März fanden Zugriffe auf diese Datei statt: Über eine halbe Million. Oder anders gesagt: Knapp 85% aller Zugriffe fanden auf diese Datei statt. Und so kann ich jeden Blogger verstehen, der diese Datei unsichtbar macht.

Mir fiel das gar nicht auf, denn mein eigentliches Analyse-Tool Google Analytics hat hier ganz andere Dinge angezeigt. Daher stand ich auch ganz gut da wie Max in der Sonne, als meine Seite sich so komisch verhielt. Mit Abstand die meisten Zugriffe stammten aus dieser Zeit von Computernamen aus der Domain „rev.cloud.scaleway.com“. Scaleway ist ein Cloud Server Provider. Also ähnlich wie Amazon Web Services oder Microsoft Azure. Bei Scaleway steht noch etwas davor, das man gut und gern als umgewandelte IP-Adresse identifizieren kann. Und bei einer komme ich an der Otto-von-Guericke-Universität Magdeburg raus.

Jetzt nehme ich nicht an, dass der Universitätsdekan in Magdeburg meinen Blog kaputt machen wollte. Und ich glaube auch nicht, dass die Uni irgendeinen eigenartigen Cloud Server betreibt. Aber eigenartig ist es schon. Ich hatte vor einer längeren Zeit schon mal einen DDoS-Angriff auf die XMLRPC. Damals waren es Cloud Rechner von Amazon Web Services. Nun also Scaleway. Das zeigt doch aber, dass die Cloud Provider vielleicht besser aufpassen müssen, was in ihrem Zuständigkeitsbereich passiert. Ich habe die Schnittstelle jedenfalls dicht gemacht. Und damit ist die Geschichte auch zu Ende.

2 Replies to “Die XMLRPC.PHP – Nachbetrachtung einer Attacke”

    1. Hallo Horst, es ist einfach viel zu gefährlich, diese Schnittstelle aktiv zu haben. Es ist eigentlich schade, dass so eine Grundfunktion von WordPress nicht mehr genutzt werden kann. Aber was will man machen? Vielleicht sind ja die WordPress-Macher irgendwann dazu in der Lage, etwas adäquates zu schaffen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert