access_logに/xmlrpc.phpへのアクセスが大量に・・・

今回は珍しくセキュリティ関係。
立ち上げたばかりのAWSのApache。
サイトはテスト用にインストールした非公開のWordPressとRedminのみ。
ふとしたきっかけでaccess_logをtailしていたら、身に覚えのないアクセスが数秒おきに・・
185.106.92.160 - - [02/Apr/2016:14:07:37 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 185.130.5.165 - - [02/Apr/2016:14:07:44 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 185.130.5.165 - - [02/Apr/2016:14:07:46 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 185.130.5.165 - - [02/Apr/2016:14:08:06 +0000] "POST /xmlrpc.php HTTP/1.0" 404 208 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
明らかに怪しい。
ちょいとGoogle先生に聞いてみると、WordPressの脆弱性をついたアタックらしい。
サーバーが高負荷の原因はWordPressのxmlrpc.phpを狙った攻撃だった
こりゃまずいって事で対策。
.htaccessに以下の記述を追加。
<Files "xmlrpc.php"> order deny,allow deny from all </Files>
これでxmlrpc.phpはアクセスできなくなったけど、相変わらずアタックは続き、ログは出続ける。
そら、まぁそうだ。
なんで、こちらのサイトを参考にアクセスしてくるIPアドレスをブロック。
AWSのEC2+ELBで、ロードバランサへのアクセス時点で特定IPからのアクセスを弾く
これでひとまずアタックは止まった。
でも、これだと別のIPからのアタックは防げないんだよね。
定期的にチェックが必要なんかなー。
この投稿へのトラックバック
トラックバックはありません。
- トラックバック URL
この投稿へのコメント