ブルートフォースアタックで狙われていたのは、実はxmlrpc.phpだった件

By | Date : 2016/05/18 ( Last Update : 2016/11/19 ) | 208 views

カテゴリ : Web開発 WordPress タグ: , ,

Nia-TN-SDF-A8

ニアです。

昨日にWordPressのログイン画面にBasic認証を導入しました。しかし、某国からのブルートフォースアタックがまた来ました。

今回はその原因の特定と対策をしたお話です。

 

1. アクセスログから判明する新事実

アクセスログを開いて、ブルートフォースアタックをしたIPアドレスで検索すると、xmlrpc.phpにPOSTリクエストが送られていた痕跡が見つかりました。

bfa

実は攻撃者が狙っていたのはログイン画面(wp-login.php)ではなく、xmlrpc.phpだったのです。道理で「Limit Login Attempts」のログには残って、「Crazy Bone」のログに載らなかったと・・・。

 

1.1. xmlrpc.phpとは

xmlrpc.phpは、ピンバックやWordPressの記事をメールから投稿できる機能がを提供します。

しかし、ブルートフォースアタックやDDoS攻撃の踏み台目的で狙われやすいです。それらの機能を使用しないのであれば、無効にしてしまいましょう。

 

2. xmlrpc.phpへのアクセスを禁止にする

nginxの設定ファイルを編集し、xmlrpc.phpへのアクセスを拒否するように設定しました。

nginxの再起動後、xmlrpc.phpにアクセスすると、HTTP 403エラーが返ります。

 

3. 数日間運用してみて・・・

数日間運用してみた結果、xmlrpc.phpにアクセスされることはなくなりました。しかしアクセスログを見ると、例の攻撃者は未だにPOSTリクエストというラブコールを毎日送っています。

bfa2

そんな愛はいらないよー!

 

それでは、See you next!

 

この記事をシェアする
Chronoir.netのRSSフィードを購読する

About : ニア(Nia)

紅茶とコーヒーが好きな湘南生まれのプログラマー/ITエンジニアです。主にC#/C++/PHPを使ってプログラミングをしています。趣味は写真撮影と音ゲーです。時々イラストを描いています。プログラミングを勉強している方々と仲良くなりたいです! 興味を持っている分野:UWP/Xamarin/Android Wear/WPF/Windows/Visual Studio/WordPress/KUSANAGI/nginx

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*