이틀 전에 내 WordPress 웹 사이트에서 내 SQL 서버가 다운된 것을 발견했습니다. 왜 SQL Server를 다시 시작할 수 없는지 알 수 없어서 로그를 살펴보았습니다.
나는 이 IP가 내 xmlrpc.php 파일에 충돌하는 것을 발견했습니다. 로그는 다음과 같습니다.
80.82.xx.xxx - - [06/Oct/2015:07:11:36 -0500] "POST /xmlrpc.php HTTP/1.0" 403 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
IP는 한 번에 몇 시간 동안 초당 여러 번 요청을 보냅니다.
저는 경험이 많은 시스템 관리자가 아니며 적절한 보안을 설정하지도 않았지만 이 일이 발생한 후 다음과 같이 했습니다.
- 내 WordPress 앱에서 xmlrpc를 비활성화했습니다.
- cPanel 및 WHM에서 해당 IP를 블랙리스트에 올렸습니다.
- 클라우드 플레어를 설정하고 DDoS 모드로 전환
이제 IP에 403 오류가 발생하는 것으로 나타났습니다. 이전에는 그렇지 않았습니다.
80.82.xx.xxx - - [04/Oct/2015:07:02:48 -0500] "POST /xmlrpc.php HTTP/1.0" 500 251 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
내 질문은 다음과 같습니다
서버를 보호하기 위해 적절한 조치를 취했습니까? 제가 해야 할 다른 일이 있나요?
해당 403 오류가 내 시스템 리소스를 소모합니까?
실제로 DDoS 공격을 받고 있는 건가요, 아니면 다른 문제인가요? 그것은 3 일 동안 계속되었습니다.
언제 클라우드 플레어 설정을 낮추는 것이 안전합니까?
감사합니다.
답변1
서버를 보호하기 위해 적절한 조치를 취했습니까? 제가 해야 할 다른 일이 있나요?
귀하는 이 특정 공격을 완화했지만 cPanel/WHM을 설치한 후 두 번째로 손상된 쓰레기가 되었기 때문에 귀하의 "서버"를 신뢰하지 않을 것입니다. 배우시길 권합니다적절한서버 관리, 서버를 처음부터 다시 설치하고 앞으로 그런 말도 안되는 설치를 피하십시오.
또한 저는 Wordpress가 안전하다고 생각하지 않습니다. 공격 표면과 리소스 사용량을 낮추기 위해 Ghost나 정적 사이트를 사용하는 것을 고려해 보십시오.
해당 403 오류가 내 시스템 리소스를 소모합니까?
아주 약간이지만 괜찮은 서버라면 충분한 리소스가 남아 있는 상태에서 초당 수백 개의 403으로 응답할 수 있어야 합니다.
실제로 DDoS 공격을 받고 있는 건가요, 아니면 다른 문제인가요? 그것은 3 일 동안 계속되었습니다.
이는 비자발적인 DoS입니다. 공격의 실제 동기는 블로그에 대한 관리자 자격 증명을 무차별 대입하는 것이지만 초당 너무 많은 요청을 보내 DB에 과부하가 걸렸습니다. 또한 단일 IP에서 발생하는 경우 DDoS(분산, 즉 여러 소스)가 아닌 단순한 DoS입니다.
언제 클라우드 플레어 설정을 낮추는 것이 안전합니까?
글쎄요, 여러분도 보시다시피 Cloudflare는 이 공격에 대해 많은 조치를 취하지 않았으므로 별 차이가 없을 것 같습니다. 내 개인적인 생각으로는 그들이 유일하게 잘하는 것은 서버의 실제 IP를 숨기고 대역폭 고갈 공격으로부터 보호하는 것입니다. 그러나 유효한(그러나 여전히 악의적인 요청)과 같은 다른 것들은 여전히 통과하고 있습니다.