记一次对 wordpress 站点的 xmlrpc 攻击及处理

一次对 wordpress 站点的 xmlrpc 攻击及处理。

今天访问我的 wordpress 网站时发现出问题了,一直都是 service unavailable,错误码 503,无法访问。

因为前些天整了一些插件,我以为是插件的问题,用 putty 登录腾讯云后台,先是简单用“service httpd restart” 重启了一下 apache 服务器,问题依旧。

于是又重启了一下云服务器,还是不行!看来问题有点麻烦。

只好跑到 apache 的安装目录下的 logs 文件夹下查看日志,发现 access_log 和 error_log 两文件大小居然都高达 100 多M,看来很不妙,因为我的网站目前并没有什么人访问,主要是自己弄着玩,不可能有如此之大的日志。

查看 access_log 后发现有一个 ip 大量的 post 请求到 xmlrpc.php 上:

191.96.249.70 - - [14/Feb/2017:13:12:50 +0800] "POST /xmlrpc.php HTTP/1.0" 503 299

如下图所示,连续不断地 post:

QQ截图20170214140347

行数居然已经到了 100 多万行,汗……

查询一下 ip 191.96.249.70,居然是来自塞舌尔:

ip

显然如果不是主动攻击就是肉鸡了,无语呀!就是这一 DDoS 攻击把服务器给弄垮了。

网上一些说法是想通过这一方式暴力破解密码,建议关闭 xmlrpc 功能,不过我还想用这一功能,所以决定先 ban 掉这个 ip。

找到问题根源后,去到腾讯云管理中心后台,在安全组里,在入站规则里增加一条并移到最上:

ip_ban

把上述 ip 给屏蔽了,于是整个世界清静了。再次重启 httpd 后,网站又能访问了。

 

发表评论

电子邮件地址不会被公开。