2016年11月22日 星期二

資安:WordPress 禁止 xmlrpc.php 攻擊

WordPress 本身存在著許多漏洞,對於使用 WordPress 更要相當小心的檢測是否遭受攻擊 or 跳板

 

以下這個例子就是 WordPress 本身的一個攻擊入口
173.245.49.175 - - [17/Nov/2016:20:43:14 +0800] "POST /xmlrpc.php HTTP/1.1" 200 271 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" 
173.245.49.175 - - [17/Nov/2016:20:43:30 +0800] "POST /xmlrpc.php HTTP/1.1" 200 271 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
173.245.49.175 - - [17/Nov/2016:20:43:46 +0800] "POST /xmlrpc.php HTTP/1.1" 200 271 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"



 

從 WordPress 3.5 開始支援 xmlrpc 並且預設啟用,xmlrpc (remote procedure call) 本身是用於遠程呼叫,在 WordPress 常用來 mobile app 發布文章使用,但常常被用來利用漏洞攻擊

 

從這一篇的例子是 IP 173.245.49.175 大約每秒 1 次的攻擊訪問,這是一種 Dos 的攻擊模式,耗掉你的主機資源,如果沒有必要使用這個服務,可以設定以下禁止訪問
server { 
...
location = /xmlrpc.php {
deny all;
return 444;
}
...
}

類似這種攻擊,我們全數禁止訪問並且 return 444,444 在 nginx log 用於表示伺服器不進行任何回應並且關閉連線。

 

 

如果有必要使用,也必須限制可以訪問的 IP

Orignal From: 資安:WordPress 禁止 xmlrpc.php 攻擊

沒有留言:

張貼留言