access_logに/xmlrpc.phpへのアクセスが大量に・・・

feather

今回は珍しくセキュリティ関係。
立ち上げたばかりのAWSのApache。
サイトはテスト用にインストールした非公開のWordPressとRedminのみ。
ふとしたきっかけでaccess_logをtailしていたら、身に覚えのないアクセスが数秒おきに・・

185.106.92.160 - - [02/Apr/2016:14:07:37 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.130.5.165 - - [02/Apr/2016:14:07:44 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.130.5.165 - - [02/Apr/2016:14:07:46 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.130.5.165 - - [02/Apr/2016:14:08:06 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

明らかに怪しい。
ちょいとGoogle先生に聞いてみると、WordPressの脆弱性をついたアタックらしい。

サーバーが高負荷の原因はWordPressのxmlrpc.phpを狙った攻撃だった

こりゃまずいって事で対策。
.htaccessに以下の記述を追加。

<Files "xmlrpc.php">
  order deny,allow
  deny from all
</Files>

これでxmlrpc.phpはアクセスできなくなったけど、相変わらずアタックは続き、ログは出続ける。
そら、まぁそうだ。
なんで、こちらのサイトを参考にアクセスしてくるIPアドレスをブロック。

AWSのEC2+ELBで、ロードバランサへのアクセス時点で特定IPからのアクセスを弾く

これでひとまずアタックは止まった。
でも、これだと別のIPからのアタックは防げないんだよね。
定期的にチェックが必要なんかなー。


この投稿へのコメント

コメントはありません。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

この投稿へのトラックバック

トラックバックはありません。

トラックバック URL