尽管我在 Nginx 设置了依然被无脑尝试暴力破解。
location =/xmlrpc.php{
deny all;
}
同时还禁止了通过 IP 访问并且拒绝所有 POST 请求,限制了请求频率。
limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
limit_req zone=allips burst=5 nodelay;
if ($request_method = POST ) {
deny all;
}
依然不断被尝试暴力破解。现在是发现一个 IP 直接加进 iptables
。
顺带通过 IP 查到个欧洲那边价格不错的 VPS 。
有的还伪装成 Google 爬虫。
现在把 xmlrpc.php
换成下面的内容,好像能骗过他们。
<?php
header("Content-type: text/xml");
echo '<?xml version="1.0" encoding="UTF-8"?><methodResponse><params><param><value><array><data><value><array><data><value><array><data><value><struct><member><name>isAdmin</name><value><boolean>0</boolean></value></member> <member><name>url</name><value><string>http://8.8.8.8/xampp/wordpress-4.3.1/</string></value></member><member><name>blogid</name><value><string>1</string></value></member><member><name>blogName</name><value><string>WordPress 4.3.1</string></value></member><member><name>xmlrpc</name><value><string>http://8.8.8.8/xampp/wordpress-4.3.1/xmlrpc.php</string></value></member></struct></value></data></array></value></data></array></value></data></array> </value></param></params></methodResponse>';
我真的不知道该说什么好,那个人真的很想搞我的博客啊。
xmlrpc.php
没了之后还一直 GET,不断换 IP。我得罪了谁吗?
90.106.238.117 - - [02/Nov/2016:19:27:03 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
90.106.238.117 - - [02/Nov/2016:19:27:03 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
68.84.99.29 - - [02/Nov/2016:19:28:09 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
68.84.99.29 - - [02/Nov/2016:19:28:09 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
68.84.99.29 - - [02/Nov/2016:19:28:15 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
现在防火墙禁止 CF 外的 IP 访问服务器的 80
和 443
端口,然后想办法判断访问来源,可疑的 POST
全部都 301
到随便一个 Download Test Files 的 10G 文件。
但是还有一些 IP 能 POST
3次的,难道他们的内容特大?
1
a570295535 2016-10-06 00:52:47 +08:00
不管你用啥程序,都有人这样吃饱了没事干。。。
最无聊的是发现你后台,一天一天试密码,我也是服了, 后来试了几天没进去,还联系你告诉你,真是无语了。。。 |
2
designer 2016-10-06 00:55:32 +08:00 via iPhone
为什么他要破解你的 wordpress ?内嵌他的广告吗?如果非技术人员如何知道自己的 Wordpress 网站是否被破解了
|
3
cevincheung 2016-10-06 03:41:40 +08:00
表示密码就是 admin 。不用破。有装两步验证插件。 xmlrpc 内容:
<?php exit('Fuck'); |
4
ZE3kr 2016-10-06 07:39:38 +08:00 via iPhone 1
是,很经常的,有时候能到每小时几千次破解,这些都是在安装了 Wordfence 才看出来的,这个插件能错误次数超过 3 自动 Block IP 。 Nginx 上的配置只能防 CC ,防密码破解效果不好。不过这些人才不管你是否屏蔽了他,还是会继续试, LZ 不用去管就好了。( SSH 也同样成为被破解的重灾区,不过操作系统已经会自动通过 iptables 屏蔽,让我很省心)
不过 XMLRPC 关了后很多客户端就用不了了 不过我最烦的还是去 Spam 评论内容的。不过也能通过 Akismet 解决 @designer 破解之后能上传插件(除非你特殊配置),然后能干各种事,包括让你成为 DDOS 肉鸡。 |
5
xenme 2016-10-06 08:35:35 +08:00 via iPhone
|
6
yytsjq 2016-10-06 10:02:08 +08:00
用不到的话直接删除 xmlrpc.php 、 wp-trackback.php 之类文件呢?
|
7
lslqtz 2016-10-06 17:55:13 +08:00
@cevincheung exit 和 die 哪个吼一些
|
8
lslqtz 2016-10-06 17:55:39 +08:00
我是喜欢直接发个破解成功,让他们的工具判断错误的哈哈哈
|
9
Coxxs 2016-10-07 02:33:01 +08:00
这个是利用来 DDoS 攻击的,直接 ban 掉 ip 比较好。
|