Nell'attacco xmlrpc, qual è l'approccio migliore?

2

Sto eseguendo un'applicazione php su un VPS. Recentemente ho aperto un blog per la mia app sullo stesso server, usando wordpress e nginx.

Tutto andava bene, fino a che il server di oggi restituiva l'errore 502 ed estremamente lento. Dopo alcune ricerche, ho scoperto che stavo avendo un sacco di richieste per wordpress xmlrpc.php file, quindi, sì, il mio server è sotto attacco.

Ho rinominato il file per impedirne l'accesso e ho installato un plugin di sicurezza su wordpress, ora è ok, ma sto ancora ricevendo una tonnellata di richieste di post sul file xmlrpc.php inesistente.

È la prima volta che mi occupo di questo, le mie domande sono:

  1. Questo traffico ripetuto a un file inesistente potrebbe danneggiare ancora le prestazioni del mio server o la memoria?
  2. C'è un modo per bloccarlo (o impostare qualcosa che lo blocchi) prima di raggiungere nginx?

Qualsiasi aiuto o intuizione sarebbe molto apprezzato.

    
posta raphadko 26.08.2016 - 02:30
fonte

2 risposte

3

Succede sempre, al primo momento, identifica gli indirizzi IP che stanno attaccando il tuo wordpress e basta bloccarlo con iptables.

In un secondo momento, installa Fail2Ban, configuralo per vedere i log di wordpress / apache, ssh e qualsiasi altro tipo di log che ritieni sia utile. Apache ha diversi moduli, per fare in modo che gli utenti rispettino il tuo server e non lo inondino di richieste.

Inoltre, analizza l'installazione di wordpress per individuare vulnerabilità, password deboli e analizzare i log per rilevare eventuali intrusioni.

    
risposta data 26.08.2016 - 20:24
fonte
1

Sembra che non sia necessario il file xmlprc.php . Basta aggiungere quanto segue all'inizio del tuo file .htaccess :

# BEGIN block xmlrpc attack
RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]
# END block xmlrpc attack 

Purtroppo, non ricordo esattamente dove l'ho trovato.

Questo reindirizzerà (301) invece tutte le richieste per xmlrpc.php a http://0.0.0.0/ .

La soluzione offerta sopra è buona perché Fail2Ban interromperà le cattive richieste (tranne la prima) prima che raggiungere il tuo server nginx o Apache.

    
risposta data 12.10.2017 - 20:49
fonte

Leggi altre domande sui tag