サーバーが高負荷の原因はWordPressのxmlrpc.phpを狙った攻撃だった
ブログにアクセスしたらなかなか読み込まない。なんか重たくなってる!異変にきづいてサーバーにターミナルでアクセスを試みるもつながらず。サーバーのコンパネから強制的に再起動をして復旧した。その原因を調べたらWordPressのxmlrpc.phpにあった。
xmlrpc.phpに大量のアクセス
apacheのログを調べたら、このように断続的に大量のアクセスがあった。apacheのエラーログをみると「server reached MaxClients setting, consider raising the MaxClients setting」と設定数以上のアクセスで、高負荷状態になり接続できなくなっていた模様。
xmlrpc.phpはそもそも、これを使うことで標準の管理画面以外からもAPIを使って、記事の投稿ができるようになるもの。どうやらここへのブルートフォースアタックでのっとりをしようとしているか、Pingback機能を悪用して当サーバーを踏み台にして攻撃に利用するためにアタックされる事例が多いようだ。xmlrpc.phpは使わないので、早速対策をとった。
[対策その1] プラグインで無効化
Disable XML-RPC Pingbackというプラグインがあり、これを利用すればピンバック機能を無効にしてくれるため、踏み台にされることはなくなる。まずはこれを設定した。
[対策その2] xmlrpc.phpへのアクセス禁止
そもそもxmlrpc.phpへアクセスできないようにした。これはhtaccessに
<Files "xmlrpc.php"> order deny,allow deny from all </Files>
のように記述すれば、xmlrpc.phpへアクセスしても403forbiddenエラーとなる。
[対策その3] 攻撃元IPを遮断
htaccessでアクセス拒否しても、apacheは経由するので負荷がかかることにかわりはない。そこで、iptable(ファイアーウォール)で攻撃してきているIPを遮断することにした。
//遮断したいIP iptables -I INPUT -s 185.62.189.47 -j DROP //設定を保存 service iptables save //設定を反映 service iptables restart
攻撃してくるIPはその時によって変わってくるので、高負荷になった時にアラートをいれたり、監視できる仕組みをいれないといけない。面倒だな…。
その後、サーバー攻撃を受けたので繰り返さないようLogwatchで監視をはじめてみました。
WordPressのセキュリテイ関連では、WordPress Popular Postsプラグインにも脆弱性がみつかりましたので、利用している方はご注意を。
WordPressの高速化についてはこちら。
フリーランスエンジニアの稼ぎ方
PROFILE
プロフィール
15年続けた受託開発をやめ、自分が作ったサービスだけで生きていくことを決意。同じゴールを目指す仲間が集まる入江開発室を運営 / 師弟関係がつくれるサービス「MENTA」をつくりました。
(詳しいプロフィール)
PRODUCT
イリテクで開発したプロダクト
RELATION
関連する記事
ブログカードはアクセスを爆増させるチャンス
wordpress4.4から、はてなのブログカードのようなリンク機能が追加されました。 https://iritec.jp/web_serv...
ブログ過去記事をリライトするコツと具体的な手順
先日のブログカード導入で燃え上がって、ひたすら過去記事の見直しを行ってるところです。 https://iritec.jp/blog/1241...
地方のスマホアプリ開発は需要と供給のバランスが崩れている
イリテクは事業としてスマホアプリの受託開発を行っています。 福岡を拠点としているので、福岡の方が多いと思われますが、実際には関東方面のクライ...
サービス開発におけるニセの「顧客像の罠」にはまらないために
サービスを作る際に、マーケティング用語で「ペルソナ」を作ろうということをよく聞きます。ペルソナとは、サービスを提供する時の判断基準として使う...
福岡の小さな会社がリモートワークなエンジニアさんと働いたら生産性が倍増した話
どうも!福岡にてWEBシステム・アプリ開発をやっているイリテク(株)の入江です。会社といっても、うちの会社は社員は奥さんだけで事務をお願いし...
