In der zweiten Juli-Woche 2014 wurde mein Server Ziel von Angriffen, der sich primär auf die XML-RPC-Schnittstelle der auf dem Server eingerichteten WordPress Blogs konzentrierten. Zudem traten ebenfalls gehäuft Zugriffsversuche auf die Anmeldeadressen meiner Websites auf. Im Visier standen beispielsweise die Subdomains zum Excel-Translator oder zum Excel-Wiki.
Die XML-RPC-Schnittstelle in WordPress dient dazu, um den Blog mit externen Programmen verwalten bzw. mit ihm von außen kommunizieren zu können. Microsoft Word verwendet beispielsweise diese Schnittstelle, wenn mit Word ein Blog-Artikel erstellt wird. Auch Anwendungen für das Smartphone, wie z.B. WordPress for Windows Phone, verwenden die Schnittstelle. Die Schnittstelle dient zudem auch dazu, dem Blog Benachrichtigungen in Form von Pingbacks senden zu können. Die XML-PRC-Schnittstelle ist seit der Version 3.5 von WordPress standardmäßig aktiv und lässt sich anhand der Oberfläche nicht abschalten.
Folgende Abbildung zeigt eine beispielhafte Auswertung der Zugriffe innerhalb eines Tages und für drei ausgewählte Subdomains vom Excel-Translator. In WordPress wird die XML-RPC-Schnittstelle anhand der Datei xmlrpc.php zur Verfügung gestellt. Die Datei ist im Wurzelverzeichnis jeder WordPress-Installation zu finden. Die Zugriffe fanden nicht konstant verteilt über den Tag statt, sondern bewegten sich innerhalb eines Zeitfensters von ein paar Stunden pro Tag, was den Server dann ziemlich beschäftigte.
Eine Auswertung meiner Log-Dateien zeigte, dass bei den Angriffen zum überwiegenden Teil die Kennung „Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)“ als Browserkennung übermittelt wurde. Eine Internet-Recherche zu der Kennung ergab einige Treffer und die von mir konsultierten Websites sind sich einig, dass der Absender der Kennung nichts Gutes im Schilde führt.
