我在 Apache 上收到了數以萬計的(很可能是惡意的)點擊,導致伺服器癱瘓。所有點擊在 Apache 日誌上看起來都是這樣的:
[30/Jan/2022:21:57:41 +0000] "POST //xmlrpc.php HTTP/1.1" 200 630 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4240.193 Safari/537.36"
(注意雙斜槓。我不知道這意味著什麼。
我在 .htaccess 上添加了以下規則,以嘗試減輕伺服器負載:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^//xmlrpc.php
RewriteRule .* - [F,L]
</IfModule>
當我運行時curl -kIL -X POST -H 'Host: [REDACTED]' https://127.0.0.1:443/xmlrpc.php,我收到 403 錯誤代碼。
然而,顯然這還不夠:根據日誌,Apache 對於帶有兩個斜杠的請求不斷返回 200。如何阻止這些請求(返回 403)?如何使用curl / wget /等來檢查區塊是否處於活動狀態?
我需要一條規則來防止「POST //xmlrpc.php HTTP/1.1」回傳 200 (HTTP OK) 並傳回 403。
答案1
盡快在 WordPress 安裝中停用 XML-RPC。這是一個很大的安全風險,您現在看到的問題只是它的開始。請參閱範例https://www.getastra.com/blog/cms/wordpress-security/wordpress-xml-rpc-exploit-everything-you-need-to-know/了解詳情。 (不以任何方式隸屬。)