Vor 2 Tagen ist mir aufgefallen, dass der SQL-Server auf meiner WordPress-Website ausgefallen ist. Ich konnte nicht herausfinden, warum ich den SQL-Server nicht neu starten konnte, also habe ich mir meine Protokolle angesehen.
Mir ist aufgefallen, dass diese eine IP meine xmlrpc.php-Datei anspricht. Die Protokolle sehen folgendermaßen aus:
80.82.xx.xxx - - [06/Oct/2015:07:11:36 -0500] "POST /xmlrpc.php HTTP/1.0" 403 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
Die IP stellt diese Anfrage stundenlang mehrere Male pro Sekunde.
Ich bin kein sehr erfahrener Systemadministrator und hatte keine geeigneten Sicherheitsmaßnahmen eingerichtet, aber nach diesem Vorfall habe ich Folgendes getan:
- xmlrpc für meine Wordpress-App deaktiviert
- diese IP in cPanel & WHM auf die schwarze Liste gesetzt
- Cloud Flare einrichten und mich in den DDoS-Modus versetzen
Mir ist aufgefallen, dass bei IP jetzt ein 403-Fehler auftritt, was vorher nicht der Fall war:
80.82.xx.xxx - - [04/Oct/2015:07:02:48 -0500] "POST /xmlrpc.php HTTP/1.0" 500 251 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
Meine Fragen sind:
Habe ich die richtigen Schritte unternommen, um meinen Server zu sichern? Gibt es sonst noch etwas, das ich tun sollte?
Belasten diese 403-Fehler meine Systemressourcen?
Werde ich tatsächlich Opfer eines DDoS-Angriffs oder ist das etwas anderes? Das geht jetzt schon seit 3 Tagen so.
Wann wäre es sicher, meine Cloud-Flare-Einstellungen zu verringern?
Danke schön.
Antwort1
Habe ich die richtigen Schritte unternommen, um meinen Server zu sichern? Gibt es sonst noch etwas, das ich tun sollte?
Sie haben diesen speziellen Angriff abgeschwächt, aber ich werde Ihrem "Server" nicht vertrauen, da er in der Sekunde, nachdem Sie cPanel/WHM installiert haben, zu einem Stück kompromittiertem Müll wurde. Ich schlage vor, Sie lernenrichtigServeradministration, installieren Sie den Server von Grund auf neu und vermeiden Sie in Zukunft die Installation solchen Unsinns.
Außerdem würde ich Wordpress niemals als sicher betrachten. Erwägen Sie die Verwendung von Ghost oder einer statischen Site, um Ihre Angriffsfläche und Ihren Ressourcenverbrauch zu verringern.
Belasten diese 403-Fehler meine Systemressourcen?
Ein ganz klein wenig, aber jeder anständige Server sollte in der Lage sein, mit Hunderten von 403-Fehlern pro Sekunde zu antworten und dabei genügend Ressourcen übrig zu haben.
Werde ich tatsächlich Opfer eines DDoS-Angriffs oder ist das etwas anderes? Das geht jetzt schon seit 3 Tagen so.
Dies ist ein unfreiwilliger DoS-Angriff. Das eigentliche Motiv des Angriffs ist, sich die Administrator-Anmeldeinformationen für Ihr Blog mit Brute Force zu verschaffen, aber durch das Senden so vieler Anfragen pro Sekunde ist es ihnen gelungen, Ihre Datenbank zu überlasten. Wenn der Angriff von einer einzelnen IP-Adresse ausgeht, handelt es sich lediglich um einen DoS-Angriff und nicht um einen DDoS-Angriff (was „verteilt“ bedeutet, also mehrere Quellen).
Wann wäre es sicher, meine Cloud-Flare-Einstellungen zu verringern?
Nun, wie Sie selbst gesehen haben, hat Cloudflare nicht viel gegen diesen Angriff unternommen, also macht es wohl keinen Unterschied. Meiner persönlichen Meinung nach ist das Einzige, was sie gut können, die echte IP Ihres Servers zu verbergen und ihn vor Angriffen zu schützen, die die Bandbreite überlasten, aber alles andere, wie diese gültigen (aber immer noch bösartigen Anfragen), kommt immer noch durch.