ブルートフォースアタックで狙われていたのは、実はxmlrpc.phpだった件

Nia-TN-SDF-A8

ニアです。

昨日にWordPressのログイン画面にBasic認証を導入しました。しかし、某国からのブルートフォースアタックがまた来ました。

今回はその原因の特定と対策をしたお話です。

1. アクセスログから判明する新事実

アクセスログを開いて、ブルートフォースアタックをしたIPアドレスで検索すると、xmlrpc.phpにPOSTリクエストが送られていた痕跡が見つかりました。

bfa

実は攻撃者が狙っていたのはログイン画面(wp-login.php)ではなく、xmlrpc.phpだったのです。道理で「Limit Login Attempts」のログには残って、「Crazy Bone」のログに載らなかったと・・・。

1.1. xmlrpc.phpとは

xmlrpc.phpは、ピンバックやWordPressの記事をメールから投稿できる機能がを提供します。

しかし、ブルートフォースアタックやDDoS攻撃の踏み台目的で狙われやすいです。それらの機能を使用しないのであれば、無効にしてしまいましょう。

2. xmlrpc.phpへのアクセスを禁止にする

nginxの設定ファイルを編集し、xmlrpc.phpへのアクセスを拒否するように設定しました。

location ~* /wp-config\.php|/wp-admin/install\.php|/xmlrpc\.php {
	deny all;
}

nginxの再起動後、xmlrpc.phpにアクセスすると、HTTP 403エラーが返ります。

3. 数日間運用してみて・・・

数日間運用してみた結果、xmlrpc.phpにアクセスされることはなくなりました。しかしアクセスログを見ると、例の攻撃者は未だにPOSTリクエストというラブコールを毎日送っています。

bfa2

Nia08.png
そんな愛はいらないよー!

それでは、See you next!

コメント

タイトルとURLをコピーしました