正在阅读:

防止WordPress文件漏洞爆破密码&iptables防火墙配置

背景

今天中午忽然发现kTWO个人博客的访问出现了问题,好像返回的数据全部都是CND缓存的,于是我就用服务器的外网ip访问了一下,结果真的让我很恼火,竟然返回一个503.。。我以为是很无语啊。随后登陆了服务器后台进行查看,结果发现从凌晨四点开始就有人开始不断的在请求服务器,并且ip也在5个左右。我有去看了一下出入带宽,结果也没发现什么,出入带宽也不大,构不成DDOS的大流量攻击,因为今天课程有点多,没有时间去处理,就先没管,到了下午四点的时候又看了一下后台的情况,结果还是这样一直存在ip访问。

截图

截图

下午下课之后回到便迫不及待的回到宿舍查看情况,打开服务器的日志之后我无语了。。。有几个ip在一直对我进行get和post请求。

3

让我感到奇怪的是它为什么要不断的请求这一个文件,并且能在短时间内将我的服务器攻击至503,我在百度上百度了这个xmlrpc.php文件之后我 就一切都明白了。原来这个xmlrpc.php文件是wordpress3.5版本时候的一个漏洞,可以不限次数的提交登陆数据,利用这个漏洞可以进行后台的密码爆破。

尼玛,什么仇?什么怨?我的博客才搭建了半个月就遭此劫,幸好我的密码够强,对方爆破了一天也没成功。

我也懒得追查这个ip了,亡羊补牢吧。下面介绍一下的采取的措施。

首先介绍一下这个xmlrpc.php文件,它就相当于是一个通讯协议,是用来远程发布的,一般用不到。、

采取的补救措施:

1、修改xmlrpc.php的文件名,这个文件一般是用不到的,直接将文件名修改即可。

2、在iptables里面将日志中的ip段加入黑名单。(iptables的安装和配置可参考前面的文章http://www.k2zone.cn/?p=101

iptables常用添加黑名单命令:

查看iptables服务的当前状态


1
service iptables status

查看已经添加的规则


1
iptables -L

开启和关闭iptables服务


1
2
/etc/init.d/iptables start
/etc/init.d/iptables stop 

封单个IP黑名单的命令


1
iptables -I INPUT -s 211.1.0.0 -j DROP

封整个IP段的命令(封锁ip192.168.*.*-192.168.255.55)


1
iptables -I INPUT -s 192.168.0.0/16 -j DROP

封整个段的命令(封锁ip192.*.*.*-192.255.255.255)


1
iptables -I INPUT -s 192.0.0.0/8 -j DROP

封几个段的命令(封锁ip192.168.1.*-192.168.1.255)


1
iptables -I INPUT -s 192.168.1.0/24 -j DROP

使用了第四条命令封了这几个ip之后服务器的响应就恢复了,最后我总结了一下,为什么这几个ip会对我的博客感兴趣呢,我想他们并不是针对我的博客,而是扫描了大量的ip段,而我恰巧被扫描到了存在这个漏洞而已,在这之前我并没有限制使用外网ip的访问,现在也算是不晚,下一次补充一下Linux一台服务器搭建多个网站,即开启虚拟主机的方法,将ip访问禁止掉,这样网站的安全性将大大提高。

希望这篇文章能为广大wordpress爱好者提供一些帮助,提高个人博客的安全性。

目前有:1条访客评论

  1. 丽丽
    2016-12-17 16:35

    你好写的太好了

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌