以下這個例子就是 WordPress 本身的一個攻擊入口
173.245.49.175 - - [17/Nov/2016:20:43:14 +0800] "POST /xmlrpc.php HTTP/1.1" 200 271 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
173.245.49.175 - - [17/Nov/2016:20:43:30 +0800] "POST /xmlrpc.php HTTP/1.1" 200 271 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
173.245.49.175 - - [17/Nov/2016:20:43:46 +0800] "POST /xmlrpc.php HTTP/1.1" 200 271 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
從 WordPress 3.5 開始支援 xmlrpc 並且預設啟用,xmlrpc (remote procedure call) 本身是用於遠程呼叫,在 WordPress 常用來 mobile app 發布文章使用,但常常被用來利用漏洞攻擊
從這一篇的例子是 IP 173.245.49.175 大約每秒 1 次的攻擊訪問,這是一種 Dos 的攻擊模式,耗掉你的主機資源,如果沒有必要使用這個服務,可以設定以下禁止訪問
server {
...
location = /xmlrpc.php {
deny all;
return 444;
}
...
}
類似這種攻擊,我們全數禁止訪問並且 return 444,444 在 nginx log 用於表示伺服器不進行任何回應並且關閉連線。
如果有必要使用,也必須限制可以訪問的 IP
Orignal From: 資安:WordPress 禁止 xmlrpc.php 攻擊
沒有留言:
張貼留言