Bajo el ataque xmlrpc, ¿cuál es el mejor enfoque?

Question

Bajo el ataque xmlrpc, ¿cuál es el mejor enfoque?

#1 de OPSXCQ (3 votos)
#2 de Krendel (1 votos)

2

Estoy ejecutando una aplicación php en un VPS. Recientemente empecé un blog para mi aplicación en el mismo servidor, usando wordpress y nginx.

Todo funcionaba bien, hasta hoy el servidor devolvía el error 502 y era extremadamente lento. Después de algunas investigaciones, descubrí que tenía un montón de solicitudes para wordpress xmlrpc.php file, así que, sí, mi servidor está bajo ataque.

He cambiado el nombre del archivo para evitar que se acceda a él, e instalé un complemento de seguridad en wordpress, está bien ahora, pero todavía estoy recibiendo una tonelada de solicitudes de envío al inexistente archivo xmlrpc.php .

Es la primera vez que trato con esto, mis preguntas son:

¿Este tráfico repetido a un archivo inexistente aún perjudicaría el rendimiento o la memoria de mi servidor?
¿Hay alguna forma de bloquearlo (o configurar algo que lo bloquee) antes de alcanzar nginx?

Cualquier ayuda o conocimiento sería muy apreciado.

php nginx wordpress

pregunta raphadko 26.08.2016 - 02:30

fuente

2 respuestas

1

Parece que no necesitas el archivo xmlprc.php en absoluto. Simplemente agregue lo siguiente a la parte superior de su archivo .htaccess :

# BEGIN block xmlrpc attack
RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/" [R=301,L]
# END block xmlrpc attack

Lamentablemente, no recuerdo exactamente dónde lo encontré.

Esto redireccionará (301) todas las solicitudes de xmlrpc.php a http://0.0.0.0/ en su lugar.

La solución ofrecida anteriormente es buena porque Fail2Ban detendrá las solicitudes incorrectas (excepto la primera) antes de llegar a su servidor nginx o Apache.

respondido por el Krendel 12.10.2017 - 20:49

fuente

Lea otras preguntas en las etiquetas php nginx wordpress

Quiero alojar un servidor desde la computadora de mi casa; ¿seguro? ¿Cómo detectar si mi teléfono Android viene con malware preinstalado?

score 3 · Accepted Answer

Eso sucede todo el tiempo, en el primer momento, identifica las direcciones IP que están atacando tu wordpress y bloquéalas con iptables.

En un segundo momento, instale Fail2Ban, configúrelo para ver los registros de wordpress / apache, ssh y cualquier otro tipo de registro que considere útil. Apache tiene varios módulos, para que los usuarios respeten su servidor y no lo inunden con solicitudes.

También, analice su instalación de wordpress en busca de vulnerabilidades, contraseñas débiles y analice los registros para detectar cualquier intrusión.