xmlrpc.phpを狙ったアクセス集中でサイトダウン

xmlrpc.phpを狙ったアタック攻撃で、サイトがダウンしておりました。すみません。気づくのが遅れた。一応、サーバーを立ち上げるにあたっていろいろ防御設定してあるのですが、xmlrpcはピンバックを受けない設定だけにしていました。

xmlrpcというのが何かは、wikipediaでも調べてください。この手の攻撃はWordPressを使ってると必ずやってきて、執拗にパスワードの総当たりをやらかします。うざくて仕方ないです。

今回も、こんなログが永遠と記録されておりました

185.188.204.8 - - [06/Dec/2017:08:50:54 +0900] "POST /xmlrpc.php HTTP/1.0" 500 263 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 
185.188.204.8 - - [06/Dec/2017:08:51:09 +0900] "POST /xmlrpc.php HTTP/1.0" 500 263 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 
185.188.204.8 - - [06/Dec/2017:08:51:15 +0900] "POST /xmlrpc.php HTTP/1.0" 500 263 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

とりあえず手っ取り早く、wordpressの直下にある、xmlrpc.phpをhogehogeとリネーム。HTTPステータスが500から404になりましたが・・・時間のない方には、これでひとまず様子見で。

でも、これだと、httpdのログには記録されてしまい、ログが汚れるやない。ということで、気になるなら、iptablesに以下を挿入

# iptables -I INPUT -s 123.123.123.123 -j DROP
# /etc/rc.d/init.d/iptables save

これでログには記録されないので、すっきり。まあ、IPを変更されたら元の木阿弥ですが、、、

あと、htaccessに書いてもいいけど、そっちはログに記録されるので、無駄に汚れるかなー

logwatchを入れていたと思ったんですが、入ってなかった?調べてみると、今年の2月が最後になってるわーwどうもサーバーをいろいろ移動していたので、設定してなかったのね。落ち着いてからやろうと思ってたら、そのままだったわー

というわけで、logwatchを導入・・・いろいろ面倒ですが、しっかり設定しておかないと、今回みたいになりますがな。自分のならいくら落ちてもいいけど、お客さんのだったら大変なことなので・・・

というわけで、今回は、再度、下の本を読んでちくしょー勉強だ!

CentOS 7実践ガイド (impress top gear)

CentOS 7実践ガイド (impress top gear)

古賀 政純
3,300円(10/23 05:55時点)
発売日: 2015/02/25
Amazonの情報を掲載しています

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください