背景
今天中午忽然发现kTWO个人博客的访问出现了问题,好像返回的数据全部都是CND缓存的,于是我就用服务器的外网ip访问了一下,结果真的让我很恼火,竟然返回一个503.。。我以为是很无语啊。随后登陆了服务器后台进行查看,结果发现从凌晨四点开始就有人开始不断的在请求服务器,并且ip也在5个左右。我有去看了一下出入带宽,结果也没发现什么,出入带宽也不大,构不成DDOS的大流量攻击,因为今天课程有点多,没有时间去处理,就先没管,到了下午四点的时候又看了一下后台的情况,结果还是这样一直存在ip访问。
下午下课之后回到便迫不及待的回到宿舍查看情况,打开服务器的日志之后我无语了。。。有几个ip在一直对我进行get和post请求。
让我感到奇怪的是它为什么要不断的请求这一个文件,并且能在短时间内将我的服务器攻击至503,我在百度上百度了这个xmlrpc.php文件之后我 就一切都明白了。原来这个xmlrpc.php文件是wordpress3.5版本时候的一个漏洞,可以不限次数的提交登陆数据,利用这个漏洞可以进行后台的密码爆破。
尼玛,什么仇?什么怨?我的博客才搭建了半个月就遭此劫,幸好我的密码够强,对方爆破了一天也没成功。
我也懒得追查这个ip了,亡羊补牢吧。下面介绍一下的采取的措施。
首先介绍一下这个xmlrpc.php文件,它就相当于是一个通讯协议,是用来远程发布的,一般用不到。、
采取的补救措施:
iptables常用添加黑名单命令:
查看iptables服务的当前状态
1 |
service iptables status |
查看已经添加的规则
1 |
iptables -L |
开启和关闭iptables服务
1 2 |
/etc/init.d/iptables start /etc/init.d/iptables stop |
封单个IP黑名单的命令
1 |
iptables -I INPUT -s 211.1.0.0 -j DROP |
封整个IP段的命令(封锁ip192.168.*.*-192.168.255.55)
1 |
iptables -I INPUT -s 192.168.0.0/16 -j DROP |
封整个段的命令(封锁ip192.*.*.*-192.255.255.255)
1 |
iptables -I INPUT -s 192.0.0.0/8 -j DROP |
封几个段的命令(封锁ip192.168.1.*-192.168.1.255)
1 |
iptables -I INPUT -s 192.168.1.0/24 -j DROP |
使用了第四条命令封了这几个ip之后服务器的响应就恢复了,最后我总结了一下,为什么这几个ip会对我的博客感兴趣呢,我想他们并不是针对我的博客,而是扫描了大量的ip段,而我恰巧被扫描到了存在这个漏洞而已,在这之前我并没有限制使用外网ip的访问,现在也算是不晚,下一次补充一下Linux一台服务器搭建多个网站,即开启虚拟主机的方法,将ip访问禁止掉,这样网站的安全性将大大提高。
希望这篇文章能为广大wordpress爱好者提供一些帮助,提高个人博客的安全性。
2016年12月17日 16:35 沙发
你好写的太好了