ブルートフォースアタックで狙われていたのは、実はxmlrpc.phpだった件

  |   2016/05/18 ( 2018/12/31 ) | 425 views
 0

Nia-TN-SDF-A8

ニアです。

昨日にWordPressのログイン画面にBasic認証を導入しました。しかし、某国からのブルートフォースアタックがまた来ました。

今回はその原因の特定と対策をしたお話です。

1. アクセスログから判明する新事実

アクセスログを開いて、ブルートフォースアタックをしたIPアドレスで検索すると、xmlrpc.phpにPOSTリクエストが送られていた痕跡が見つかりました。

bfa

実は攻撃者が狙っていたのはログイン画面(wp-login.php)ではなく、xmlrpc.phpだったのです。道理で「Limit Login Attempts」のログには残って、「Crazy Bone」のログに載らなかったと・・・。

1.1. xmlrpc.phpとは

xmlrpc.phpは、ピンバックやWordPressの記事をメールから投稿できる機能がを提供します。

しかし、ブルートフォースアタックやDDoS攻撃の踏み台目的で狙われやすいです。それらの機能を使用しないのであれば、無効にしてしまいましょう。

2. xmlrpc.phpへのアクセスを禁止にする

nginxの設定ファイルを編集し、xmlrpc.phpへのアクセスを拒否するように設定しました。

location ~* /wp-config\.php|/wp-admin/install\.php|/xmlrpc\.php {
	deny all;
}

nginxの再起動後、xmlrpc.phpにアクセスすると、HTTP 403エラーが返ります。

3. 数日間運用してみて・・・

数日間運用してみた結果、xmlrpc.phpにアクセスされることはなくなりました。しかしアクセスログを見ると、例の攻撃者は未だにPOSTリクエストというラブコールを毎日送っています。

bfa2

Nia08.png
そんな愛はいらないよー!

それでは、See you next!

この記事をシェアする
Chronoir.netのRSSフィードを購読する

ニア(Nia)

サーバー・フロント・DB・インフラ(クラウド)エンジニア。主にC#/PHP(最近はTypeScriptも)を使っています。最近はDockerやWebアプリ、UWPやモバイルアプリ開発(Xamarin)、ブロックチェーン等を探求中。好物は紅茶とコーヒー、シラス丼、趣味は写真撮影と音ゲーです

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください