WordPressへ攻撃食らってたので対応した

2016.07.01

今日記事を書こうかと思ってブログにアクセスしたところ、全く応答しない!SSH接続しようとしても全くアクセス出来ない。
しかたがないのでサーバの管理コンソールに入ると、OOM Killerによってhttpdなどサービス関連プロセスがぼこぼこ死んでるという。マジかい!Σ(゚Д゚)

内部処理の問題って可能性はひとまず置いといて、外部からのアクセスを遮断して軽く調べてみると、netstatに見慣れない「LAST_ACK」の状態が大量に。しかも同じIPで。

tcp        0      1 ::ffff:133.130.48.153:80    ::ffff:191.96.249.54:56660  LAST_ACK
tcp        0      1 ::ffff:133.130.48.153:80    ::ffff:191.96.249.54:57907  LAST_ACK
tcp        0      1 ::ffff:133.130.48.153:80    ::ffff:191.96.249.54:50005  LAST_ACK
tcp        0      1 ::ffff:133.130.48.153:80    ::ffff:191.96.249.53:53321  LAST_ACK
tcp        0      1 ::ffff:133.130.48.153:80    ::ffff:191.96.249.54:54902  LAST_ACK
tcp        0      1 ::ffff:133.130.48.153:80    ::ffff:191.96.249.53:36699  LAST_ACK
tcp        0      1 ::ffff:133.130.48.153:80    ::ffff:191.96.249.54:36530  LAST_ACK
tcp        0      1 ::ffff:133.130.48.153:80    ::ffff:191.96.249.54:52116  LAST_ACK
tcp        0      1 ::ffff:133.130.48.153:80    ::ffff:191.96.249.53:60180  LAST_ACK

こりゃーなんか外部から攻撃食らってるなと思ったのでもう少し調べてみた。外部公開してるのはこのブログ(Wordpress)だけなので、アクセスログを見るとやっぱりありました。

191.96.249.54 - - [27/Jun/2016:08:53:31 +0900] "GET / HTTP/1.1" 200 47771 "-" "-"
191.96.249.54 - - [27/Jun/2016:10:06:23 +0900] "GET /xmlrpc.php HTTP/1.1" 405 42 "-" "-"
191.96.249.54 - - [30/Jun/2016:00:47:18 +0900] "GET /feed/ HTTP/1.1" 404 267 "-" "-"
191.96.249.54 - - [30/Jun/2016:00:47:18 +0900] "GET /?feed=rss2 HTTP/1.1" 200 9461 "-" "-"
191.96.249.54 - - [01/Jul/2016:01:33:34 +0900] "GET /xmlrpc.php HTTP/1.1" 405 42 "-" "-"
191.96.249.54 - - [01/Jul/2016:06:54:41 +0900] "GET /feed/ HTTP/1.1" 404 267 "-" "-"
191.96.249.54 - - [01/Jul/2016:06:54:42 +0900] "GET /?feed=rss2 HTTP/1.1" 200 9461 "-" "-"
191.96.249.54 - - [01/Jul/2016:07:04:34 +0900] "POST /xmlrpc.php HTTP/1.0" 200 394 "-" "Mozilla/4.0 (compatibl
e: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [01/Jul/2016:07:04:34 +0900] "POST /xmlrpc.php HTTP/1.0" 200 394 "-" "Mozilla/4.0 (compatibl
e: MSIE 7.0; Windows NT 6.0)"

4日前に調査されて、今朝の7時頃から実際の攻撃を食らってる。

どうやらWordPressのxmlrpc.phpを狙った攻撃みたいです。なので以下の情報を参考に、xmlrpc.phpのアクセス拒否と、送信元アドレスのブロックを実施。

サーバーが高負荷の原因はWordPressのxmlrpc.phpを狙った攻撃だった | SHINGO IRIE
ブログにアクセスしたらなかなか読み込まない。なんか重たくなってる!異変にきづいてサーバーにターミナルでアクセス
iritec.jp

インターネットに公開するってのは攻撃にさらされるってことなんだなーと、そして事前対策不足だったという不勉強を改めて実感。
もっともっと勉強しないといけませんね…

スポンサーリンク

コメント

タイトルとURLをコピーしました