Перестал работать сайт

Всем привет!

Пришло время продолжить написание заметок системного администратора в связи с выходом на работу в хостинг-компанию в качестве службы поддержке хостинга.

Сегодня мы рассмотрим с вами небольшой пример загрузки сервера запросами POST к файлу популярной CMS системы Wordoress.
В результате атаки мы получаем залипшый сервер, через 10 раз открывающийся сайт, каждый раз получаем ошибку об отсутствии соединения с базой данный MySQL.

Атакующий посылает с двух разных ip адресов несколько POST запросов в секунду к файлу /xmlrpc.php.

Запросы XMLRPC:
95.0.83.xx — - [04/Aug/2014:06:48:03 +0400] «POST /xmlrpc.php HTTP/1.0» 499 0 "-" «Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)»


Как же я узеал из-за чего начинает залипать сервер:

Кое как пробился по ssh к серверу.
Запустил top и htop, чтоб выяснить какой же сервис пожирает ресурсы.
Им оказался веб-сервер.
После чего мы идем в директорию логов и смотрим в режиме он-лайн записи которые добавляются в access.log nginx'а.
Ну вроде теперь понятно, что нас атакуют пост запросами на файл.

Далее, если ip'шников не так уж и много, то я сразу же баню их подсеть /24 посредством iptables командой:

iptables -A INPUT -s 123.45.32.0/24 -j DROP


После чего можно заблокировать доступ к файлу посредствам веб-сервера:

Apache:
<Files xmlrpc.php> 
  deny from all 
</Files>


Nginx:
location = /xmlrpc.php {
deny all;
}


Еще один вариант и конкретно с файлом xmlrpc.php, то можно отключить в самом Worpress. Нам потребуется установить и активировать плагин:

Отключаем XML-RPC — плагин Disable XML-RPC (его просто активировать и всё).

Атакующий может выбрать любой другой файл, куда можно послать запрос, зная CMS на которой работает ваш сайт. Ваши логи могут отличатся от моих, но суть одинакова.

Вот в принципе и все на данный момент!
Пусть ваши сайты не болеют!

1 комментарий

avatar
Спасибо за статью, идет в избранное.

Еще один способ блокировки файлов для apache, если боитесь лезть в кофниг .htaccess — в них так же можно запретить доступ к файлу.
  • sss
  • 0
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.