2 日前、WordPress の Web サイトで SQL サーバーがダウンしていることに気付きました。SQL サーバーを再起動できない理由がわからなかったので、ログを確認しました。
この 1 つの IP が xmlrpc.php ファイルにアクセスしていることに気付きました。ログは次のようになります。
80.82.xx.xxx - - [06/Oct/2015:07:11:36 -0500] "POST /xmlrpc.php HTTP/1.0" 403 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
IP は一度に数時間にわたって 1 秒間に数回その要求を行っています。
私はあまり経験豊富なシステム管理者ではなく、適切なセキュリティ設定も行っていませんでしたが、この出来事を受けて次のことを行いました。
- WordPress アプリの xmlrpc を無効にしました
- cPanelとWHMでそのIPをブラックリストに登録
- クラウドフレアを設定し、DDoSモードにする
IP が 403 エラーを受け取るようになりましたが、以前はそうではありませんでした。
80.82.xx.xxx - - [04/Oct/2015:07:02:48 -0500] "POST /xmlrpc.php HTTP/1.0" 500 251 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
私の質問は次のとおりです:
サーバーを保護するために適切な手順を踏んでいますか? 他に何かすべきことはありますか?
これらの 403 エラーはシステム リソースを浪費するのでしょうか?
私は実際に DDoS 攻撃を受けているのでしょうか、それとも別の何かなのでしょうか? 3 日間続いています。
クラウドフレアの設定を下げても安全なのはいつでしょうか?
ありがとう。
答え1
サーバーを保護するために適切な手順を踏んでいますか? 他に何かすべきことはありますか?
この特定の攻撃は軽減されましたが、cPanel/WHMをインストールした直後に「サーバー」が危険にさらされたゴミになったため、私はあなたの「サーバー」を信頼しません。学ぶことをお勧めします。ちゃんとしたサーバー管理を見直し、サーバーを最初から再インストールし、将来このような無意味なインストールを避けてください。
また、Wordpress が安全であるとは決して考えません。攻撃対象領域とリソース使用量を減らすために、Ghost または静的サイトの使用を検討してください。
これらの 403 エラーはシステム リソースを浪費するのでしょうか?
ほんのわずかですが、適切なサーバーであれば、十分なリソースを残して、1 秒あたり数百の 403 に応答できるはずです。
私は実際に DDoS 攻撃を受けているのでしょうか、それとも別の何かなのでしょうか? 3 日間続いています。
これは意図しない DoS です。攻撃の本当の目的は、ブログの管理者の資格情報を総当たり攻撃することですが、1 秒あたりに大量のリクエストを送信することで、DB を過負荷にすることに成功しました。また、単一の IP から攻撃が行われている場合は、単なる DoS であり、DDoS (分散型、つまり複数のソース) ではありません。
クラウドフレアの設定を下げても安全なのはいつでしょうか?
まあ、あなたが見たように、Cloudflare はこの攻撃に対してあまり対策を講じなかったので、何の違いもないと思います。私の個人的な意見では、彼らが得意とするのは、サーバーの実際の IP を隠して帯域幅枯渇攻撃から保護することだけですが、これらの有効な (ただし悪意のあるリクエスト) などの他のものは、依然として通過しています。