WordPress e Drupal vulnerabilidade de negação de serviço

Uma recente falha nos CMS's Wordpress e Drupal, que permitem  negação de serviço XML foi publicada no blog www.breaksec.com.

Também na página oficial do wordpress voltada para suporte, foi recebido o seguinte post:
WordPress › Support » Plugins and Hacks
iThemes Security (formerly Better WP Security)
Warning: XMLRPC WordPress Exploit DDOS (2 posts)
http://wordpress.org/support/topic/warning-xmlrpc-wordpress-exploit-ddos

Opção Padrão WordPress Inseguro = Very Large Botnet de DDOS / Mais de 162.000 afetados até o momento. 

DDOS = ataque de negação de serviço-, destina-se a pedidos completos e sobrecarga para o servidor, até que o tráfego real acaba sendo bloqueado ou as falhas do servidor. 

O XML-RPC é um protocolo de chamada de procedimento remoto (CPR) que utiliza XML para codificar suas chamadas e HTTP como um mecanismo de transporte. É um protocolo simples, definido com poucas linhas de códigos em oposição com a maioria dos sistemas de RPC, onde os documentos padrões são freqüentemente com milhares de páginas e exige apoio de softwares para serem usados.

Qualquer site WordPress com Pingback habilitado (que é ativado por padrão) podem ser usados ​​em ataques DDoS contra outros sites. Note-se que XMLRPC é usado para pingbacks, trackbacks, acesso remoto via dispositivos móveis e muitos outros recursos. Assim, você pode usá-lo para um bom propósito.

A vulnerabilidade afeta WordPress 3.5 a 3.9.1 e Drupal 6.x e 7.x., O ataque pode deixar o servidor fora de serviços em questão de segundos ou minutos.

Foi desenvolvido um exploit que explorar ataques XML com Negação de serviço, Tal ataque é diferente dos demais processos de exploração XML Bomb, no sentido que o mesmo distorce o limite de memória e MySQL, Apache Max Clients works . Para utilizar tal bug não tem necessidade ou auxilio de nem plugin, pois é uma falha padrão já instalada do WordPress e Drupal.  

Riscos da situação atual::::
- Serviço não disponível (muitas conexões abertas, mysql_connect(): Muitas conexões em aberto) 

- WORDPRESS

- DRUPAL

- 100% CPU, RAM Usage

Sobre Ataque XML Quadratic Blowup: Um XML quadrática ataque blowup é semelhante a um Billion Laughs attack:

O que seria um Billion Laughs attack: Em sec, um ataque Billion Laughs é um tipo de (DoS) ataques denial-of-service, que visa analisadores de documentos XML. [1] 

É também referido como uma XML bomb  ou como um ataque de expansão entidade exponencial [2].

Vídeo demostrativo do ataque:

EXPLOIT: http://pastebin.com/5HpJGiZL

REF:
http://www.breaksec.com/?p=6362
https://en.wikipedia.org/wiki/Billion_laughs
https://httpd.apache.org/docs/current/mod/mpm_common.html
http://php.net/manual/en/ini.core.php
https://en.wikipedia.org/wiki/Document_type_definition
http://wordpress.org/news/2014/08/wordpress-3-9-2/

Ataque DDos usando T50

T50 Experimental Packet Injector Tool

Referencia rápida pra utilizar o T50:
ex:01
./t50 200.16.2.X --flood --turbo --dport (80 443) -S --protocol TCP

Neste procedimento floodar o ip, adicionar o modo turbo, atacar as portas 80 e 443, usando somente SYN nos protocolo TCP.

ex:02
./t50 200.16.2.X --flood --turbo --dport (80) -S -s 200.16.2.Y --protocol TCP

Neste procedimento floodar o ip, adiciona o modo turbo, atacar somente a porta 80 usando SYN e mascarando  seu ip com 200.16.2.Y no protocolo TCP

--protocol TCP
Faz um randômico de todos os protocolos

--sport 80 --dport 443
Ataca através da porta de origem 80 no alvo 443


Utilizando o programa de monitoramento de rede Wireshark podemos observar os pacotes sendo enviados

Quanto mais detalhado o processo de ataque mais rápido seu algo vai á lona.

Baixar:http://t50.sourceforge.net/

Hackers tiram do ar sites de Banco Central, Citibank e Panamericano

RIO - Nesta sexta-feira, os hackers fizeram três novas vítimas. A primeira foi a página de internet do Banco Central, que ficou fora do ar durante alguns minutos, por volta das 10h15 min. A interrupção do acesso foi rápida e o site voltou ao ar em pouco tempo. A segunda foi a página do Citibank que, por volta das 11h30min, apresentava problemas de acesso. E a terceira, a página do banco Panamericano, que saiu do ar às 11h41min.

Mais uma vez, pelo Twitter, hackers assumiram o ataque matinal a sites de bancos, desta vez Citibank e Panamericano.

“Atenção marujos: Alvo atingido! O Citibank está à deriva!”, publicou o usuário @AnonBRNews que, em seguida, anunciou a queda do site do Panamericano.

Os dois bancos ainda não se pronunciaram sobre o caso e permanecem com suas páginas fora do ar.

Mais cedo, hackers disseram no microblog que estavam apenas "calibrando as armas" para o alvo principal desta sexta, no caso o CitiBank.

"Escolhemos um alvo de testes antes, só para calibrar nossas armas: bcb.gov.br", escreveram.

O Banco Central também não se manifestou sobre a breve investida dos hackers ao site da instituição, que já voltou a funcionar.

Desde a segunda-feira os mesmos perfis de Twitter (@AnonBRNews, @iPiratesGroup e @AntiSecBrTeam), que dizem ser simpatizantes do movimento hackativista Anonymous, têm assumido a autoria de ataques de negação de serviço (DDoS, na sigla em inglês para distributed denial of service). Páginas de bancos brasileiros foram tiradas do ar em protesto contra a desigualdade social no país - que tem gerado críticas no microblog.

O primeiro alvo foi o site do Itaú. Nos dias seguintes, os bancos Bradesco, Banco do Brasil e HSBC tiveram sobrecarga de acessos e saíram do ar. O HSBC teve sua página internacional, de domínio .com, também ataca pelo grupo brasileiro, gerando repercussão internacional.

A tática usada pelos hackers faz com que uma grande quantidade de computadores-zumbis (máquinas controladas remotamente) tentem milhões de acessos simultâneos ao alvo, sobrecarregando o servidor e fazendo o site sair do ar, temporariamente.

Leia mais sobre esse assunto em http://oglobo.globo.com/tecnologia/hackers-tiram-do-ar-sites-de-banco-central-citibank-panamericano-3868381#ixzz1lKMtDNZB
© 1996 - 2012. Todos direitos reservados a Infoglobo Comunicação e Participações S.A. Este material não pode ser publicado, transmitido por broadcast, reescrito ou redistribuído sem autorização. 

Atack DDOS WEBLOIC

  webLOIC

Webloic só é destina a ser servidor web de teste de carga (o seu próprio web-server), não usá-lo para a negação distribuída de ataques do serviço grande. DDos pode prejudicar gravemente uma empresa, fazendo com que um site para abrandar ou descer completamente. Causar dano pode levar a ações judiciais em nome da vítima. Discrição é aconselhada.





Essa Versão do LOIC ele simula acesso no alvo teste, criando varias iframes html assim abrindo um link com seu algo via http:.
Ex. de Iframe:
  Este site sera testado em atack DDOS.

Com isso e criada um conexão dirada com site abrindo no webBrowser, o Loic abri varias assim gerando uma Carga no Server WEB.


Site:http://www.webloic.com/
Somente estudos.

Programa atack DDOS GoogleINURL

Programa LOIC, como é open soucer modifiquei o designer traduzi pra BR & ADD um tema Googleinurl, Respeitando os direitos do criador.

Baixar: http://www.megaupload.com/?d=FU6HA8IL

Programa atack DDOS LOIC USADA PELOS Grupo Anonymous em apoio Wikileaks

Que o Grupo Hacking Anonymous é de grande potencial destrutivo e grande conhecido por seus feitos & Terror de muitos governos que escondem documentos secretos ou sujos,  Aé vai o grande Loic que foi utilizado em atacks de grandes sites como Mastercard.

Baixar:http://www.ziddu.com/download/13325475/LOIC_OP_PB.zip.html 
é preciso Download .net framework versi 4 da microsoft