xmlrpc.phpを狙ったアクセス集中でサイトダウン

xmlrpc.phpを狙ったアタック攻撃で、サイトがダウンしておりました。すみません。気づくのが遅れた。一応、サーバーを立ち上げるにあたっていろいろ防御設定してあるのですが、xmlrpcはピンバックを受けない設定だけにしていました。

xmlrpcというのが何かは、wikipediaでも調べてください。この手の攻撃はWordPressを使ってると必ずやってきて、執拗にパスワードの総当たりをやらかします。うざくて仕方ないです。

今回も、こんなログが永遠と記録されておりました

185.188.204.8 - - [06/Dec/2017:08:50:54 +0900] "POST /xmlrpc.php HTTP/1.0" 500 263 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 
185.188.204.8 - - [06/Dec/2017:08:51:09 +0900] "POST /xmlrpc.php HTTP/1.0" 500 263 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 
185.188.204.8 - - [06/Dec/2017:08:51:15 +0900] "POST /xmlrpc.php HTTP/1.0" 500 263 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

とりあえず手っ取り早く、wordpressの直下にある、xmlrpc.phpをhogehogeとリネーム。HTTPステータスが500から404になりましたが・・・時間のない方には、これでひとまず様子見で。

でも、これだと、httpdのログには記録されてしまい、ログが汚れるやない。ということで、気になるなら、iptablesに以下を挿入

# iptables -I INPUT -s 123.123.123.123 -j DROP
# /etc/rc.d/init.d/iptables save

これでログには記録されないので、すっきり。まあ、IPを変更されたら元の木阿弥ですが、、、

あと、htaccessに書いてもいいけど、そっちはログに記録されるので、無駄に汚れるかなー

logwatchを入れていたと思ったんですが、入ってなかった？調べてみると、今年の2月が最後になってるわーｗどうもサーバーをいろいろ移動していたので、設定してなかったのね。落ち着いてからやろうと思ってたら、そのままだったわー

というわけで、logwatchを導入・・・いろいろ面倒ですが、しっかり設定しておかないと、今回みたいになりますがな。自分のならいくら落ちてもいいけど、お客さんのだったら大変なことなので・・・

というわけで、今回は、再度、下の本を読んでちくしょー勉強だ!

関連記事:

Firefoxを前バージョンに戻したんだけど、、、 Firefoxが57.0になったけど、それなりな感じ MS IMEをしばらく使ってみたんだけど、、、 月1回の更新でなんとか書いてみる