あいしんくいっと

ありきたりだけど、少しだけ役に立つことをありのままに書こうと思う。

WordPressへのDDOS攻撃(xmlrpc.php)の対処方法(Nginx編)

time 2016/04/29

ども。あいしんくいっと(@ithinkitnet)です。

ある日、毎朝のルーチンワークである「記事更新のツイート」をしようとWordPressの管理コンソールに接続しようとすると、何故だか繫がらない。。。

「う~ん。何だか、サーバが重いなぁ」

何やら嫌な予感を感じたので、サーバにsshログインして確認を試みたところ、すんなりrootユーザにすらなれない。

[admin@dti-vps-srv734 ~]$ sudo su -
sudo: 監査システムを開くことができません: メモリを確保できません

は?メモリが確保出来ないってどーゆーこと?

何度かsudoを繰り返し、やっとの思いでrootユーザに昇格。
何気にロードアベレージを確認すると、

[root@dti-vps-srv734 ~]# w
14:20:27 up 5:39, 1 user, load average: 11.80, 10.82, 8.48
USER TTY LOGIN@ IDLE JCPU PCPU WHAT

ロードアベレージ11だとぉー!そんなバ・カ・な。
いつもは0.x台で、行っても1.x台の超ゆったりズムなロードアベレージなのに・・・。

「コレはヤベェ!!!」

と直感的にnginxやphp-fpm、mysqlといったWordPressを構成するプロセスを片っ端から再起動して回るも効果なし。

止むを得ず、“最終手段”であるサーバ再起動や停止/起動を繰り返すも、一時的にロードアベレージは収まるものの、すぐにロードアベレージが高騰。

「やっぱりこれはおかしい。もしかして、仮想ホスト(レンタルサーバ側)に問題があるんじゃないか?」

そう考えた私はServers@VPSにも問い合わせました。

「サーバ再起動、停止/起動を繰り返しているのですが、ロードアベレージが下がりません。仮想ホスト側に問題は無いでしょうか?」

といった感じで。
で、3時間経った今でも返信はナシっと(笑)
6時間後くらいにサポートから返信がありましたw

そんなことはおいて置いて、現状をどう打破するのかが重要。

そして色々と調べているうち、ふとnginxのアクセスログを見たら、見慣れないアクセスが一杯!!!

159.122.224.173 - - [27/Apr/2016:14:15:48 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
159.122.224.173 - - [27/Apr/2016:14:15:49 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.103.252.170 - - [27/Apr/2016:14:15:49 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.103.252.170 - - [27/Apr/2016:14:15:50 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.130.4.197 - - [27/Apr/2016:14:15:50 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.103.252.170 - - [27/Apr/2016:14:15:51 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.103.252.170 - - [27/Apr/2016:14:15:51 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.103.252.170 - - [27/Apr/2016:14:15:52 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

「なにコレ?もしかしたら、攻撃されてんのか?」

ということで調べてみると、ビンゴ!
どうやら何者かから攻撃されているらしい。。。

えぇ。かの有名なDDOS攻撃ってやつみたいです。
細かく言うと「xmlrpc.phpを狙ったDDOS攻撃」らしいです。

DDOS攻撃っていう名前は超有名だし、知ってはいたけど、まさか自分がDDOS攻撃喰らうことになるとは夢にも思いませんでしたね・・・。

xmlrpc.phpを狙ったDDOS攻撃対処法

私の場合はnginxなので、/etc/nginx/conf.dの下のconfファイルに以下を追記しました。

# xmlrpc.php攻撃対策
location = /xmlrpc.php {
deny all;
access_log /dev/null;
error_log /dev/null;
}

そして、nginxを再起動。

上記の設定だと、外部エディタが使用出来なくなるらしいのですが、私は基本的に管理コンソールからしか編集しないので問題なし。
これで平穏な日々を取り戻した本ブログ。。。

[root@dti-vps-srv734 conf.d]# w
14:33:04 up 5:52, 1 user, load average: 0.46, 1.30, 4.23
USER TTY LOGIN@ IDLE JCPU PCPU WHAT
admin pts/0 13:23 0.00s 0.42s 0.00s sshd: admin [priv]

一件落着ですな。あーーー疲れた。

ちなみにログを辿ってみたところ、3日前くらいからDDOS攻撃を受けていた模様・・・。
どんだけ気付くのおそいねん!って話w

これが一番初め。

46.148.18.162 - - [24/Apr/2016:01:53:23 +0900] "POST /xmlrpc.php HTTP/1.1" 200 25400 "http://i-think-it.net/xmlrpc.php" "Mozilla/5.0 (Android; Linux arm7l; rv:2.1.1) Gecko/20110415 Firefox/4.0.2pre Fennec/4.0.1"

そこからだんだんと攻撃頻度を徐々に増していくという何とも嫌な攻撃。。。

185.130.5.195 - - [24/Apr/2016:03:56:42 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.130.5.195 - - [24/Apr/2016:03:56:46 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
185.130.5.195 - - [24/Apr/2016:03:56:47 +0900] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

「何だか、サーバが重いなぁ」

なんて方はアクセスログを見てみることをオススメします。
もしかしたら、攻撃されている可能性も。。。
wordpress-ddos-attack-log
あ、サポートに問い合わせしたの忘れてたけど、まいっか(笑)
(いまだに何の返信もないしw)
「自己解決しました。すみません。」ってちゃんと返信しておきましたw

以上、あいしんくいっとでした( *´艸`)

sponsored link

down

コメントする




*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

Author

あいしんくいっと

あいしんくいっと

あいしんくいっとの中の人。

ありきたりだけど、自分なりの視点で少しでも人の役に立つ記事をありのままに書くをモットーに。 たまには役立つことが書けると良いかな。

サイトポリシーはこちら

聞きたいことがあれば、気軽にツイートください♪可能な範囲でお答えします。
follow us in feedly

Twitter

オススメ記事

アーカイブ