自分ハックで毎日を楽しく!イリテク!

HOME > IT/Web > サーバーが高負荷の原因はWordPressのxmlrpc.phpを狙った攻撃だった
2015/06/25 (2016/08/19更新) タグ: ,

サーバーが高負荷の原因はWordPressのxmlrpc.phpを狙った攻撃だった

このエントリーをはてなブックマークに追加

ブログにアクセスしたらなかなか読み込まない。なんか重たくなってる!異変にきづいてサーバーにターミナルでアクセスを試みるもつながらず。サーバーのコンパネから強制的に再起動をして復旧した。その原因を調べたらWordPressのxmlrpc.phpにあった。

SPONSOR

xmlrpc.phpに大量のアクセス

log
apacheのログを調べたら、このように断続的に大量のアクセスがあった。apacheのエラーログをみると「server reached MaxClients setting, consider raising the MaxClients setting」と設定数以上のアクセスで、高負荷状態になり接続できなくなっていた模様。

xmlrpc.phpはそもそも、これを使うことで標準の管理画面以外からもAPIを使って、記事の投稿ができるようになるもの。どうやらここへのブルートフォースアタックでのっとりをしようとしているか、Pingback機能を悪用して当サーバーを踏み台にして攻撃に利用するためにアタックされる事例が多いようだ。xmlrpc.phpは使わないので、早速対策をとった。

[対策その1] プラグインで無効化

Disable XML-RPC Pingbackというプラグインがあり、これを利用すればピンバック機能を無効にしてくれるため、踏み台にされることはなくなる。まずはこれを設定した。

[対策その2] xmlrpc.phpへのアクセス禁止

そもそもxmlrpc.phpへアクセスできないようにした。これはhtaccessに

<Files "xmlrpc.php">
order deny,allow
deny from all
</Files>

のように記述すれば、xmlrpc.phpへアクセスしても403forbiddenエラーとなる。

[対策その3] 攻撃元IPを遮断

htaccessでアクセス拒否しても、apacheは経由するので負荷がかかることにかわりはない。そこで、iptable(ファイアーウォール)で攻撃してきているIPを遮断することにした。

//遮断したいIP
iptables -I INPUT -s 185.62.189.47 -j DROP

//設定を保存
service iptables save

//設定を反映
service iptables restart

攻撃してくるIPはその時によって変わってくるので、高負荷になった時にアラートをいれたり、監視できる仕組みをいれないといけない。面倒だな…。

その後、サーバー攻撃を受けたので繰り返さないようLogwatchで監視をはじめてみました。

サーバー攻撃を受けたので、Logwatchで監視をはじめてみた

WordPressのセキュリテイ関連では、WordPress Popular Postsプラグインにも脆弱性がみつかりましたので、利用している方はご注意を。

WordPress Popular Postsでサムネイルを表示している方は要注意!

WordPressの高速化についてはこちら。

WordPressを高速化する9つのステップ

この記事をシェアする
このエントリーをはてなブックマークに追加

イリテクの最新記事をお届けします

イリテクの最新情報をチェック!
  • follow us in feedly
    RSSで最新記事を読む

イリテクで開発したサービス

請求書作成業務をもっとかんたんに。見積請求書の作成だけでなく、郵送代行、メール送信、PDFダウンロードなどバックオフィスを効率化。

詳しくはこちら

こちらの記事もおすすめです

SPONSER

開発したWebサービス
記事を書いている人
入江 慎吾 ITゼネラリスト
イリテク(株)代表。webシステム、デザイン、iOSアプリ開発に携わって15年目。複数の企業と専属エンジニア契約中。自社で見積請求CLOUD PAPER運営。iPhoneアプリ全国総合ランキング3位を記録。イリテクブログは月間約5万PV。(もっと詳しく
SPONSOR
最新記事
Facebook
Twitter
おすすめ記事