RTFM.WIKI

Ordnung muß sein. Ordnung über alles (18+)

Инструменты пользователя

Инструменты сайта


web:wordpress:xmlrpc

Wordpress: DDoS через XML-RPC

Что случилось?

Как обнаружить?

Пример access лога с POST запросами к xmlrpc.php

# grep xmlrpc /var/log/nginx/access.log
96.30.6.77 - - [17/May/2016:04:34:53 +0300] "POST /xmlrpc.php HTTP/1.1" 200 125935 "-" "-" "-"
108.179.197.218 - - [17/May/2016:07:48:06 +0300] "POST /xmlrpc.php HTTP/1.1" 200 125935 "-" "-" "-"
89.161.231.28 - - [17/May/2016:08:04:36 +0300] "POST /xmlrpc.php HTTP/1.1" 200 125935 "-" "-" "-"
89.111.177.110 - - [17/May/2016:08:08:15 +0300] "POST /xmlrpc.php HTTP/1.1" 200 125935 "-" "-" "-"
81.177.135.201 - - [17/May/2016:08:08:26 +0300] "POST /xmlrpc.php HTTP/1.1" 200 125935 "-" "-" "-"
46.229.230.48 - - [17/May/2016:08:08:28 +0300] "POST /xmlrpc.php HTTP/1.1" 200 125935 "-" "-" "-"
50.62.176.19 - - [17/May/2016:10:31:43 +0300] "POST /xmlrpc.php HTTP/1.1" 200 652 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:23.0) Gecko/20100101 Firefox/23.0" "-"
74.63.250.11 - - [17/May/2016:10:39:16 +0300] "POST /xmlrpc.php HTTP/1.1" 200 125935 "-" "-" "-"
159.8.34.18 - - [17/May/2016:10:53:40 +0300] "POST /xmlrpc.php HTTP/1.1" 200 652 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:23.0) Gecko/20100101 Firefox/23.0" "-"

TL;DR если вы не используете XML-RPC, то отключите его.

Это можно сделать через .htaccess или с помощью плагина.

Отключение xmlrpc через .htaccess

Для Apache 2.2

<Files xmlrpc.php> 
Order Deny,Allow
Deny from all
</Files>

Для Apache 2.4

<Files xmlrpc.php> 
Satisfy any
Order allow,deny
Deny from all
</Files>

Если вы используете мобильное приложение Wordpress, то для его работы дополнительно нужно добавить строку Allow from Ваш-IP.

Если используется Jetpack, то htaccess будет таким

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 192.0.64.0/18
Satisfy All
ErrorDocument 403 http://127.0.0.1/
</Files>

Отключение xmlrpc в nginx

location /xmlrpc.php {
    deny all;
    allow Ваш-IP;
}

Отключение xmlrpc через плагин

Плагины для отключения XML-RPC можно найти на сайте Wordpress по тегу xmlrpc.

Обсуждение

Ваш комментарий. Вики-синтаксис разрешён:
 
web/wordpress/xmlrpc.txt · Последнее изменение: 2022/08/03 18:51 — dx