Percebi que meu servidor SQL estava fora do ar no meu site wordpress há 2 dias. Não consegui descobrir por que não consegui reiniciar o servidor SQL, então olhei meus logs.
Percebi que esse IP estava atingindo meu arquivo xmlrpc.php. Os registros ficam assim:
80.82.xx.xxx - - [06/Oct/2015:07:11:36 -0500] "POST /xmlrpc.php HTTP/1.0" 403 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
O IP está fazendo essa solicitação várias vezes por segundo durante horas seguidas.
Não sou um administrador de sistema muito experiente e não tinha a segurança adequada configurada, mas depois que isso aconteceu eu:
- xmlrpc desativado para meu aplicativo wordpress
- colocou esse IP na lista negra no cPanel e WHM
- configurar o cloud flare e me colocar no modo DDoS
Percebi agora que o IP está recebendo um erro 403 e antes não:
80.82.xx.xxx - - [04/Oct/2015:07:02:48 -0500] "POST /xmlrpc.php HTTP/1.0" 500 251 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
Minhas perguntas são:
Tomei as medidas adequadas para proteger meu servidor? Há mais alguma coisa que devo fazer?
Esses erros 403 esgotam os recursos do meu sistema?
Estou realmente recebendo DDoS ou isso é outra coisa? Já faz 3 dias que isso acontece.
Quando seria seguro diminuir minhas configurações de Cloud Flare?
Obrigado.
Responder1
Tomei as medidas adequadas para proteger meu servidor? Há mais alguma coisa que devo fazer?
Você mitigou esse ataque específico, mas não confiarei no seu "servidor", pois ele se tornou um lixo comprometido um segundo após a instalação do cPanel/WHM. Eu sugiro que você aprendaapropriadoadministração do servidor, reinstale o servidor do zero e evite instalar tal bobagem no futuro.
Além disso, eu nunca consideraria o Wordpress seguro, considere usar o Ghost ou um site estático para diminuir a superfície de ataque e o uso de recursos.
Esses erros 403 esgotam os recursos do meu sistema?
Um pouquinho, mas qualquer servidor decente deve ser capaz de responder com centenas de 403 por segundo com muitos recursos restantes.
Estou realmente recebendo DDoS ou isso é outra coisa? Já faz 3 dias que isso acontece.
Este é um DoS involuntário. O verdadeiro motivo do ataque é aplicar força bruta às credenciais de administrador do seu blog, mas ao enviar tantas solicitações por segundo eles conseguiram sobrecarregar seu banco de dados. Além disso, se vier de um único IP, é apenas um DoS, não um DDoS (que significa distribuído, também conhecido como fontes múltiplas).
Quando seria seguro diminuir minhas configurações de Cloud Flare?
Bem, como você mesmo viu, o Cloudflare não fez muito contra esse ataque, então acho que não faz diferença. Na minha opinião pessoal, a única coisa em que eles são bons é ocultar o IP real do seu servidor e protegê-lo contra ataques de esgotamento de largura de banda, mas qualquer outra coisa como essas solicitações válidas (mas ainda maliciosas) ainda estão passando.