Skip to main content

Множныя запыты да xmlrpc.php ў WordPress

www.amigoplus.ru Абарона і бяспека


Сёння зазірнуў у access-лог аднаго сайта на вордпресс і выявіў мноства запытаў падобнага роду: 

  1.234.83.77 - - [05 / Sep / 2014 года: 12: 07: 01 0600] "POST /xmlrpc.php HTTP / 1.1« 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "
 1.234.83.77 - - [05 / Sep / 2014 года: 12: 07: 01 0600] "POST /xmlrpc.php HTTP / 1.1« 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "
 1.234.83.77 - - [05 / Sep / 2014 года: 12: 07: 02 0600] "POST /xmlrpc.php HTTP / 1.1« 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "
 1.234.83.77 - - [05 / Sep / 2014 года: 12: 07: 02 0600] "POST /xmlrpc.php HTTP / 1.1« 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "

Мяркуючы па выніках гугления, ёсць нейкі эксплоит, звязаны з гэтым файлам - xmlrpc.php. У адным артыкуле на англійскай гаварылася, як я зразумеў, абапіраючыся на свае дрэнныя веды гэтай мовы :), пра магчымасць арганізаваць падбор пароляў. Праўда, пакуль што я не заўважыў наступстваў, але лепш загадзя прыняць меры. :)



Раней была апублікаваная нататка аб абароне сайта на вордпресс ад брутфорсу . І гэты варыянт выдатна падышоў і для сённяшняга выпадку.

Адзіны момант: трэба падкарэктаваць правілы ў адпаведнасці з запытам. У артыкуле прыводзіўся прыклад:

 
  [Definition]
 failregex = <HOST>. * / wp-login.php HTTP / 1.1 "200
       <HOST>. * / Wp-login.php / HTTP / 1.1 "302
      <HOST>. * / Wp-login.php HTTP / 1.0 "200
 ignoreregex =

Дадзены спіс правілаў варта мадыфікаваць так: 

  [Definition]
 failregex = <HOST>. * / xmlrpc.php HTTP / 1.
 ignoreregex =

Або дадаць правіла з новага радка ў існуючы спіс. Калі абарона была настроена раней. Пасля чаго перазапусціць fail2ban.

Пры гэтым, будзе вырабляецца пошук любых запытаў http 1.0 і http 1.1, з любым статус-кодам, атрыманых ад сервера.




Як вы ацэніце артыкул?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (1 адзнак, сярэдняе: 1,00 з 5)
Загрузка ...

Дадаць каментар

Ваш e-mail не будзе апублікаваны.