摘要:

不知道是无聊还是闲得蛋疼,总有一帮子自以为是的傻X在利用工具对网络上类似于小站的博客进行攻击,对大多数博客来说,这种攻击都是末日一般。wordpress已经做的足够好了,但国内的网络环境我也是醉了,到处都是利用爆出来的工具和漏洞研究的2B攻击者,他们没有责任心,抱着搞死搞瘫的态度做事,甚至更有甚者是组队为了赚取名声被雇佣,罪行已经罄竹难书…前段时间小站遭受了xmlrpc攻击,这篇文章就来说说防御致wordpress奔溃的xmlrpc暴力攻击

不知道是无聊还是闲得蛋疼,总有一帮子自以为是的傻X在利用工具对网络上类似于小站的博客进行攻击,对大多数博客来说,这种攻击都是末日一般。wordpress已经做的足够好了,但国内的网络环境我也是醉了,到处都是利用爆出来的工具和漏洞研究的2B攻击者,他们没有责任心,抱着搞死搞瘫的态度做事,甚至更有甚者是组队为了赚取名声被雇佣,在我从事IT工作以来,这两年是最坏的环境,有遇到过攻击后留记事本敲诈的,把整站搞奔溃的,把站搞成赌博链接站的…真是罄竹难书啊!
不再展开,前段时间小站遭受了攻击,下面就说说这个xmlrpc攻击:

被攻击如何发现

查看log日志,在服务器中会有访问记录日志,用cat或者vi命令查看,会有如下

36.248.119.109 - - [14/Jan/2015:11:02:31 +0800] "POST /xmlrpc.php HTTP/1.1" 
11.23.45.112 - - [14/Jan/2015:11:11:35 +0800] "POST /xmlrpc.php HTTP/1.1" 
56.28.179.119 - - [14/Jan/2015:11:22:36 +0800] "POST /xmlrpc.php HTTP/1.1" 

xmlrpc.php在不停被POST,这是明显的被攻击的信号!

被攻击如何防御

方法1:屏蔽攻击ip或者ip段

iptables -I INPUT -s 36.248.117.184 -j DROP //屏蔽单个ip
iptables -I INPUT -s 36.248.117.0/100 -j DROP //屏蔽某段ip

方法2:屏蔽 XML-RPC (pingback) 已经加入至最新jinlijun 2.5主题中

add_filter( 'xmlrpc_methods', function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
});

方法3:通过.htaccess屏蔽xmlrpc.php文件的访问

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

方法4:修改.htaccess文件,跳转访问其他页面

# protect xmlrpc
<IfModule mod_alias.c>
Redirect 301 /xmlrpc.php http://www.jinlijun.com/login.html
</IfModule>

方法5:删掉wordpress根目录下的xmlrpc.php(记得备份和改名)

方法6:安装登陆次数限制插件login-security-solution

攻击原理

直接POST以下数据到xmlrpc.php.

<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
  <methodName>wp.getUsersBlogs</methodName>
  <params>
   <param><value>username</value></param>
   <param><value>password</value></param>
  </params>
</methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:0,如果密码错误则返回为403。

后遗症

部分插件因为是用XML-RPC协议与wordpress进行交互,请在防御前删除!例如:Jetpack by WORDPRESS.COM,这个怪兽级插件是用XML-RPC协议读写WordPress上的文章,所以Jetpack在做完防御后会访问失败,重复尝试导致wordpress奔溃,无法访问。
(可能还有其他插件,小站没做过测试)

参考文献

感谢前辈们提供的参考:
http://www.freebuf.com/articles/web/38861.html
http://blog.sucuri.net/2014/03/more-than-162000-wordpress-sites-used-for-distributed-denial-of-service-attack.html
http://sebug.net/appdir/WordPress

  • 本文为原创文章,版权归 金励君   博客所有,转载引用请注明以下信息:
  • 本文作者:
  • 本文标题: 防御致wordpress奔溃的xmlrpc暴力攻击
  • 本文地址: http://www.jinlijun.com/%e9%98%b2%e5%be%a1%e8%87%b4wordpress%e5%a5%94%e6%ba%83%e7%9a%84xmlrpc%e6%9a%b4%e5%8a%9b%e6%94%bb%e5%87%bb.html +复制链接
  • 本文标签: ,

防御致wordpress奔溃的xmlrpc暴力攻击:等您坐沙发呢!

发表评论

(教你设置自己的个性头像)

疑问? 吃西瓜。 生闷气! 偷看。 Hi OK 吃惊。 飞吻! 不要啊! 膜拜! 泡泡糖。 抛钱。 献花。 抓狂! 纠结! 不理你。 抛媚眼。 调皮。 恭喜! 忍! 委屈。 吃饭。

快捷键:Ctrl+Enter