[WP] xmlrpc.php 취약점을 이용한 DDOS 공격 대응 방법

최근까지 이 블로그가 백지 상태가 되는 경우가 있었습니다. 처음엔 대수롭지 않게 웹서버를 재시작 시키곤 했는데 이 증상이 시간이 갈 수록 자주 발생하게 되었습니다. 이틀에 한번 꼴로 먹통이 되어버리는 상황까지 오게되어 원인을 찾게 됐습니다.

아파치 로그를 살펴본 결과 1~2분 단위로 같은 IP들을 발견하게 되었고 이들의 공통점은 워드프레스 최상단 경로에 위치한 xmlrpc.php 파일을 접근하고 있다는 점이었습니다.

xmlrpc

 

(현재는 접근이 차단되어 Error를 발생시키고 있는 모습)

동일 사례를 찾아보니 이 현상은 워드프레스의 취약점 중 하나인 xmlrpc.php를 이용해 DDOS 공격의 경유지로 활용하는 행위였습니다. 다시말해 블로그 자체가 DDOS 공격을 받는 것이 아닌 다른 사이트들을 DDOS 공격을 하기위해 이용하는 도구로 사용된다는 것입니다.

이 문제는 예전부터 공론화되어왔다고 합니다. 국내에서는 워드프레스를 기반으로 한 웹사이트가 많지 않지만 전세계를 기준으로 봤을때는 얘기가 달라집니다. 전세계 약 20%의 웹사이트가 워드프레스로 제작되어 운영되고 있다는 통계가 있습니다. 이 말의 의미는 동일한 형태의 공격에 대한 위험이 전세계 약 20%의 웹사이트에 동일하게 노출되고 있다는 점입니다.

다행히 워드프레스 플러그인으로 간단하게 해결 가능합니다. 이 플러그인들은 원천적으로 지속적인 웹 접속 자체를 차단할 수는 없지만 엑세스를 하지 못하도록 비활성화 하는 방법을 사용하고 있습니다.

xmlrpc만 입력해서 검색해봐도 disable xmlrpc, block xmlrpc 등등 대응이 가능한 플로그인들이 검색됩니다. 플러그인을 설치해주는 정도만으로도 이러한 공격 경유지로의 이용은 막을 수 있습니다.

찐빵

이 곳에 작성된 모든 컨텐츠는 CCL 규약의 CC BY-NC-SA (저작자표시-비영리-동일조건변경허락) 조건을 따릅니다. 비상업적 용도로 출처를 밝혀주시면 얼마든지 공유 가능합니다.

You may also like...

%d 블로거가 이것을 좋아합니다: