WordPress xmlrpc.phpへのアタック対策

  • このエントリーをはてなブックマークに追加
  • Pocket

先週くらいからxmlrpc.phpに対してブルードフォースを食らってサーバが落ちておりました。

大したことはしてないけど対応と対策についてまとめ。

環境

  • さくらのVPS
  • Ubuntu 14.04
  • Nginx + php5-fpm + MariaDB

なにせメモリが512MBしかないのですぐに動けなくなる・・・

WordPressのxmlrpc.php

やっぱり狙われるねー。
今まで攻撃されてなかったからスルーしてたよ。

今回も海外からのお客様でした。

2リクエスト / sec くらいでお越しいただいてる。
うちの貧弱なVPSじゃとてもじゃないが耐えられない(´・ω・`)

割りと長めのパスワードにしてるから簡単に突破されないとは思うけど、負荷でサイトが見れなくなるのでお帰り頂くことにする。

対策

ぱっと思いつくのはこんな感じ。

案1 xmlrpc.phpを消し去る

xmlrpc.phpは使ってないのでそもそも不要。
でも消したところでWordPressをアップデートすると復活しちゃうのでめんどくさい。

案2 xmlrpc.phpを無効にするプラグインを入れる

案1よりはいいよね。
たぶん。

案3 webサーバの設定でリダイレクト or 403を返す

とりあえずサーバの負荷を下げる作戦。
諦めてくれるのを待つのみ。

案4 iptablesで攻撃元IPを遮断

IP変えられると意味ないお。
緊急措置として。

 

今回は案3と4の合わせ技で乗り切ることにする。

 

Nginxでリダイレクト or 403を返す

リダイレクト先をどうしようかと(こういうケースだと一般的には http://0.0.0.0 らしい)思ったのでとりあえず403を返してみる。

/etc/nginx/sites-available/MySite

nginxを再起動してログを確認してみる。

403になった。

iptablesで攻撃元IPを遮断

気休めにしかならないがムカつくので拒否する。

ubuntuなのでufwを使ってdenyする。

ログを確認。

これでサイトがダウンしなくなった。
とりあえずよかった。

何か「コッチのほうがいいよ!」という有識者のお方がいらっしゃいましたらご連絡頂きたいです。

  • このエントリーをはてなブックマークに追加
  • Pocket

SNSでもご購読できます。

コメントを残す

*