今回は珍しくセキュリティ関係。
立ち上げたばかりのAWSのApache。
サイトはテスト用にインストールした非公開のWordPressとRedminのみ。
ふとしたきっかけでaccess_logをtailしていたら、身に覚えのないアクセスが数秒おきに・・
[code lang=”xml”]
185.106.92.160 – – [02/Apr/2016:14:07:37 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.130.5.165 – – [02/Apr/2016:14:07:44 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.130.5.165 – – [02/Apr/2016:14:07:46 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.130.5.165 – – [02/Apr/2016:14:08:06 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
[/code]
明らかに怪しい。
ちょいとGoogle先生に聞いてみると、WordPressの脆弱性をついたアタックらしい。
サーバーが高負荷の原因はWordPressのxmlrpc.phpを狙った攻撃だった
こりゃまずいって事で対策。
.htaccessに以下の記述を追加。
[code lang=”xml”]
<Files "xmlrpc.php">
order deny,allow
deny from all
</Files>
[/code]
これでxmlrpc.phpはアクセスできなくなったけど、相変わらずアタックは続き、ログは出続ける。
そら、まぁそうだ。
なんで、こちらのサイトを参考にアクセスしてくるIPアドレスをブロック。
AWSのEC2+ELBで、ロードバランサへのアクセス時点で特定IPからのアクセスを弾く
これでひとまずアタックは止まった。
でも、これだと別のIPからのアタックは防げないんだよね。
定期的にチェックが必要なんかなー。
コメント