WPのxmlrpc.phpを狙った攻撃

WordPressは世界中でかなり使われていることからいろいろな攻撃を受ける可能性が高いようです。

本日、サーバのロードアベレージが170近くまで上がっていたため、全く反応がなくなってしまいました・・・

ログを見てみる(ログイン~ログ参照まで15分位・・・(泣))と、xmlrpc.php にひたすらPOSTし続ける輩が・・・

85.159.237.219 – – [10/Jan/2016:15:35:10 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
85.159.237.219 – – [10/Jan/2016:15:35:20 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
85.159.237.219 – – [10/Jan/2016:15:35:20 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
85.159.237.219 – – [10/Jan/2016:15:35:11 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
85.159.237.219 – – [10/Jan/2016:15:35:12 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”
85.159.237.219 – – [10/Jan/2016:15:35:21 +0900] “POST /xmlrpc.php HTTP/1.0” 200 370 “-” “Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)”

まずは、Apacheを止め(こちらも止まるまで5分位かかった・・・)、httpd.conf で、xmlrpc.phpを403にするFiles設定を行い、Apacheを起動。さらに下記をインストールしました。

https://ja.wordpress.org/plugins/disable-xml-rpc-pingback/

攻撃自体は止んでいませんが、Apacheプロセスが生成されなくなった為、問題なく動作するようになりました!!

Comments are closed.