兩天前,我注意到我的 WordPress 網站上的 SQL 伺服器宕機了。我不明白為什麼我無法重新啟動 SQL 伺服器,所以我查看了日誌。
我注意到這個 IP 正在存取我的 xmlrpc.php 檔案。日誌如下圖所示:
80.82.xx.xxx - - [06/Oct/2015:07:11:36 -0500] "POST /xmlrpc.php HTTP/1.0" 403 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
該 IP 每秒多次發出該請求,每次持續數小時。
我不是一個非常有經驗的系統管理員,也沒有適當的安全設置,但在發生這種情況後我:
- 為我的 WordPress 應用程式停用 xmlrpc
- 在 cPanel 和 WHM 中將此 IP 列入黑名單
- 設定雲耀斑並將自己置於 DDoS 模式
我現在註意到 IP 現在收到 403 錯誤,而以前則沒有:
80.82.xx.xxx - - [04/Oct/2015:07:02:48 -0500] "POST /xmlrpc.php HTTP/1.0" 500 251 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
我的問題是:
我是否採取了正確的步驟來保護我的伺服器?還有什麼我該做的嗎?
這些 403 錯誤是否會消耗我的系統資源?
我實際上受到了 DDoS 攻擊還是有其他原因?已經持續3天了。
什麼時候可以安全地降低雲耀斑設定?
謝謝。
答案1
我是否採取了正確的步驟來保護我的伺服器?還有什麼我該做的嗎?
您已經緩解了這種特定的攻擊,但我不會信任您的“伺服器”,因為在您安裝 cPanel/WHM 後,它就變成了一塊受損的垃圾。我建議你學習恰當的伺服器管理,從頭開始重新安裝伺服器,並避免將來安裝此類廢話。
另外,我永遠不會認為 WordPress 是安全的,請考慮使用 Ghost 或靜態網站來降低攻擊面和資源使用率。
這些 403 錯誤是否會消耗我的系統資源?
一點點,但任何像樣的伺服器都應該能夠在剩餘大量資源的情況下每秒回應數百個 403。
我實際上受到了 DDoS 攻擊還是有其他原因?已經持續3天了。
這是非自願的 DoS。攻擊的真正動機是暴力破解您部落格的管理員憑證,但透過每秒發送如此多的請求,他們設法使您的資料庫過載。此外,如果它來自單一 IP,則它只是 DoS,而不是 DDoS(這意味著分佈式,又稱為多個來源)。
什麼時候可以安全地降低雲耀斑設定?
好吧,正如您所見,Cloudflare 沒有針對這種攻擊採取太多措施,所以我想這沒有任何區別。在我個人看來,他們唯一擅長的是隱藏伺服器的真實 IP 並使其免受頻寬耗盡攻擊,但諸如這些有效(但仍然是惡意請求)之類的其他任何內容仍然會通過。