由Abhishek Ghosh公司 2015年8月1日 晚上9:57更新时间:2021年10月27日WordPress XML-RPC攻击和伪造PHP5-FPM错误广告我们谈过阻止WordPress XML-RPC和防止对云IaaS的DDoS攻击.我们的犯罪是指封锁通过PHP-WordPress方式的WordPress-XML-RPC攻击。脚本孩子们正在共享服务器上运行漏洞攻击,可能正在享受对数据库的访问,我们可能损害了他们的垃圾邮件方式。他们在我们的服务器上爆发的愤怒更糟糕。我们假装不理解这些袭击。我们收集了IP地址列表。所有IP和实例都是Amazon的。 WordPress XML-RPC攻击:假冒PHP5-FPM错误部分 新手会认为由此产生的问题与Nginx PHP5-FPM unix插槽或者其他一些东西。错误是相同的。这些攻击可以带来分布式拒绝服务在Nginx服务器上导致随机502个PHP5-FPM错误或可能导致数据库关闭。这是Fix。但我们需要告诉您如何诊断它。在共享服务器、基于非密钥的虚拟无路由web主机的情况下,黑客攻击整个数据库并不困难。广告---并非所有公司都在使用HP Cloud或IBM。如果我们没有假装“我们不知道”,我们就无法收集任何数据。简而言之,除非您检查Nginx访问日志、错误日志、MySQL日志;除非PHP5-FPM错误即将到来,否则这将是一个典型的Nginx-PHP5-FMM错误,带有一个指向Nginx网站的链接,用于检查日志。当您尝试手动刷新缓存或访问管理区域时,您将面临Nginx的白色页面,其中声明了一个错误。您可能会认为PHP5-FPM配置错误,或者资源有问题。你可以给一个16GB的服务器,把PHP内存增加到50%——它会很快消亡,就像4GB的服务器一样。 WordPress XML-RPC攻击:假冒PHP5-FPM错误部分 对于Deb GNU/Linux上的正常Nginx-PHP5设置(从repo中读取Ubuntu服务器和Nginx),如果我们cd到/var/log/nginx和使用awk公司列出对HTTP代码的访问次数访问.log文件,以这种方式:维姆cd/var/log/nginxawk“{print$9}”access.log |排序| uniq-c |排序-rn12光盘 /无功功率,无功功率/日志/nginx公司awk公司 '{打印$9}' 接近.日志 | 分类 | uniq公司 -c(c) | 分类 -尼泊尔如果我得到这样的结果:维姆832123 502339996 499166366 40325699 301361 404305 20012三456832123 502 339996 499 166366 403 25699 301 361 404 305 200简单地说,502个错误是服务器上最常见的错误。499错误代码是来自另一台服务器的POST,将其作为502。服务器设计用于为页面提供200 HTTP代码.更新:你可以使用lnav代替复杂命令。该指南中的说明。 WordPress XML-RPC攻击:日志分析 直接对错误文件执行cat变得更容易:维姆cat/var/log/nginx/error.log1猫 /无功功率,无功功率/日志/nginx公司/错误.日志我去拿些原木。日志将包含此类错误,它是一个变量,而不是:维姆[error]3239#0:*15188 connect()to unix:/var/run/php5-fpm.sock在连接到上游时失败(11:资源暂时不可用),客户端:52.2447.119,服务器:thecustomizewindows.com,请求:“POST/xmlrpc.php HTTP/1.0”,上游:“fastcgi://unix:/var/run/php5-fpm.sock:“,主机:”xxx.xxx.xxx“1[错误] 3239#0: *15188 连接() 到unix(通用):/无功功率,无功功率/运行/第5页-英尺/分钟.短袜失败 (11: 资源暂时不可用的) 虽然 连接到上游, 客户: 52.24.47.119, 服务器: 定制窗口.通用域名格式, 请求: “POST/xmlrpc.php HTTP/1.0”, 上游: "fastcgi://unix:/var/run/php5-fpm.sock:“, 主办: “xxx.xxx.xxx.xxx.xxx”那个52.24.47.119正在向发送POST请求自定义windows.com/xmlrpc.php这样:维姆卷曲https://thecustomizewindows.com/xmlrpc.php-d’<?xml version=“1.0”encoding=“iso-8859-1”?><methodCall><methodName>pingback.ping</methodName><params><params><value><string>http://abc.com/hello-world/</string></value></param><param><value>http://xyz.com/hello-world/</string></value></params></params></methodCall>'1卷曲https(https)://定制窗口.通用域名格式/xmlrpc(xmlrpc).php(电话) -天 '<?xml格式版本=“1.0” 编码=“iso-8859-1”?><methodCall><method_Name>pingback.ping</methodName><params><param><value><string>http://abc.com/hello-world/</string></value></param><param><value>http://xyz.com/hello-world/</string></value></params></params></methodCall>'通常,未经事先许可,任何人都不会向其他服务器发送POST请求。如果您是服务器管理的新用户,我们将发送GET请求,而不是POST。所以,即使在出现502499301等错误之前,我们也可以在访问.log文件:维姆cat access.log | grep 52.2447.119##或者如果IP未知cat访问.log | grep/xmlrpc.php12三猫 接近.日志 | 格雷普 52.24.47.119## 或如果 IP(IP)未知的猫 接近.日志 | 格雷普 /xmlrpc(xmlrpc).php(电话)我们将获得一个包含此类信息的巨大日志:维姆54.69.229.22-[2015年7月28日:20:20:20-0500]“POST/xmlrpc.php HTTP/1.0”499 0“-”“Mozilla/5.0(兼容;Googlebot/2.1;http://www.google.com/bot.html)"154.69.229.22 - - [28/七月/2015:20:20:20 -0500] “POST/xmlrpc.php HTTP/1.0” 499 0 "-" “Mozilla/5.0(兼容;Googlebot/2.1http://www.google.com/bot.html)"没有http://www.google.com/bot.html目前。谷歌有大量关于谷歌机器人和IP的信息页面:维姆https://support.google.com/websites/answer/805531https(https)://支持.谷歌.通用域名格式/网站管理员/回答/80553谷歌只发送来自谷歌机器人网站和谷歌网站。如果您运行顶部在攻击期间,将有较高的CPU使用率和较高的RAM使用率。WordPress往往会变得更慢,即使没有失败。作为筛选测试,如果我们对文件运行此命令/var/log/nginx/access.log:/var/log/nginx/维姆cd/var/log/nginx/cat access.log | grep xmlrpc | awk'{print$1}'| sort | uniq | wc-l12 光盘 /无功功率,无功功率/日志/nginx公司/猫 接近.日志 | 格雷普xmlrpc(xmlrpc) | awk公司 “{打印$1}” | 分类 | uniq公司 | 厕所 -我我们将得到一个数值。如果是,假设是157,那么服务器肯定受到了攻击——这就是唯一IP的数量!我们可以运行以下命令:/var/log/nginx/维姆cd/var/log/nginx/cat access.log | grep xmlrpc | awk'{print$1}'| sort | uniq12 光盘 /无功功率,无功功率/日志/nginx公司/猫 接近.日志 | 格雷普xmlrpc(xmlrpc) | awk公司 “{打印$1}” | 分类 | uniq公司我们将获得这些(例如)157个IP的列表。当有人在谷歌搜索中搜索IP时,我们可以用它创建一个文本文件并将其放在GitHub上,以便谷歌轻松抓取,请参阅此处–运行XML RPC攻击的黑名单IP. WordPress XML-RPC攻击:解决问题 如果您从日志中获得IP,这很好,因为我们有:维姆52.24.47.11954.69.228.14554.69.229.2252.10.165.5552.25.199.24912三4552.24.47.11954.69.228.14554.69.229.2252.10.165.5552.25.199.249正如他们已经知道的那样,从技术上讲,我们应该使用防火墙通过Nginx阻止加禁令。对于Nginx,我们可以按照前面描述的方式添加include指令如何使用include指令,在上添加一行/etc/nginx/nginx.conf:维姆包括/etc/nginx/nownhackers.conf;1包括 /等等/nginx公司/知识渊博者.conf公司; 然后创建一个knownhackers.conf公司文件在/等/nginx/:维姆nano/etc/nginx/knownhackers.conf1纳米技术 /等等/nginx公司/知识渊博者.conf公司针对上述IP,我们将在knownhackers.conf公司这样地:维姆否认52.2447.119;否认54.69.228.145;否认54.69.229.22;否认52.10.165.55;否认52.25.199.249;12三45否认 52.24.47.119;否认 54.69.228.145;否认 54.69.229.22;否认 52.10.165.55;否认 52.25.199.249;然后使用运行配置测试nginx-t并用重新启动nginx服务nginx重启。我们还应该使用一些防火墙来完全拒绝IP:维姆#应为所有IP重复一个示例iptables-A INPUT-s 52.2447.119-j DROP(输入)12 # 一例子, 应该是重复的对于 全部的这个IPiptables -一个 INPUT(输入) -秒 52.24.47.119 -j个 下降但是,黑客不会使用不同IP的承诺在哪里?这就是为什么/etc/nginx/sites-available/default或等效的vHost文件,我们将在服务器{}块:维姆位置~xmlrpc\.php{否认一切;允许127.0.0.0/24;允许:1/128;允许66.135.32.0/19;允许66.155.0.0/18;允许69.174.240.0/20;允许72.232.0/17;允许76.74.248.0/21;允许192.0.64.0/18;允许198.181.116.0/22;允许207.198.64.0/18;允许209.15.0.0/16;允许216.151.208.0/20;}12三456789101112131415 位置 ~ xmlrpc(xmlrpc)\.php(电话) { 否认全部的; 允许 127.0.0.0/24; 允许 时间:1/128; 允许 66.135.32.0/19; 允许 66.155.0.0/18; 允许 69.174.240.0/20; 允许 72.232.0.0/17; 允许 76.74.248.0/21; 允许 192.0.64.0/18; 允许 198.181.116.0/22; 允许 207.198.64.0/18; 允许 209.15.0.0/16; 允许 216.151.208.0/20; }允许IP被列入白名单并与WordPress相关。我们尚未发现它们–我们在名为codepie.org网站。然后使用运行配置测试nginx-t并用重新启动nginx服务nginx重启。如果你不想允许WordPress相关的IP,只需使用:维姆位置~xmlrpc\.php{否认一切;允许127.0.0.0/24;}12三4 位置 ~ xmlrpc(xmlrpc)\.php(电话) { 否认全部的; 允许 127.0.0.0/24; }如果服务器同时具有端口443和端口80,我们将在这两个位置添加指令,以避免将301重定向从端口80转义到端口443的可能性降到最低。最后,我们需要在Child Theme的functions.php文件或其替换插件中添加一些额外的内容(我们在这里写这篇文章是为了避免Child Theme函数的数百个片段。php)。我们将添加的代码片段是:维姆add_filter('xmlrpc_methods','remove_xmlrpc_pingback_ping');函数remove_xmlrpc_pingback_ping($methods){unset($methods['pingback.ping']);return$方法;};12三45添加筛选器( 'xmlrpc_methods', '删除_xmlrpc_pingback_ping' );功能 删除_xmlrpc_pingback_ping( $方法 ) { 未设置( $方法[“pingback.ping”] ); 返回 $方法;} ;最后,从WordPress管理面板禁用ping back和trackback。 WordPress XML-RPC攻击:检查MySQL日志 发起攻击的主要原因通常是为了获得反向链接。用其他黑客攻击WordPress的方法推送一篇糟糕的帖子是可能的。那些与IP相关的实例在更强大的服务器面前只是一个孩子。也许我们对那些永远不配得到仁慈的人来说太好了。我们应该检查MySQL日志中最后运行的命令/查询:维姆猫~/.mysql_history1猫 ~/.mysql_历史如果你看到奇怪的东西(比如推送超链接),你应该找到与数据库相关的论坛并终止妊娠。~/.mysql_history不依赖于上的设置我的.cnf.除非手动检查,否则IP可能是中间人攻击.随机PHP5-FPM错误通常被误解为配置错误。对于配置错误,您的IP可以通过访问页面或执行操作触发错误。最后,您应该使用我们描述的方法清除日志文件,方法如下:维姆echo“”>/var/log/nginx/error.log1回声 " " > /无功功率,无功功率/日志/nginx公司/错误.日志标记为 xmlrpc(xmlrpc),fpm-ddos随机查询,谷歌bot xmlrpc php帖子,POST/xmlrpc php HTTP/1 0 499 0脸谱网 推特 Pinterest公司 关于Abhishek Ghosh公司Abhishek Ghosh是一名商人、外科医生、作家和博客作者。你可以在推特上与他保持联系-@阿披实CTRL.以下是我们为您准备的内容,您可能会喜欢:WordPress XML-RPC攻击和伪造PHP5-FPM错误相关文章Nginx WordPress安装指南(所有步骤)这是一个完整的Nginx WordPress安装指南,包括所有步骤,包括一些优化和设置,与Nginx的WordPressDOT ORG示例设置兼容。HP Cloud上Ubuntu 14.04上Nginx上的WordPress多站点以下是关于使用所有命令和配置在HP Cloud上的Ubuntu 14.04上的Nginx上设置WordPress Multisite的分步指南。Ubuntu Nginx PHP5-FPM UNIX套接字配置右Nginx PHP5-FPM UNIX套接字配置在Ubuntu中需要执行的一些额外步骤。否则,您将面临随机502504错误。合并多个日志文件以进行大数据分析以下是加入/合并多个日志文件进行大数据分析的方法,将它们存储到基于OpenStack的云存储中并删除旧文件。执行在此网站上搜索可以帮助你。此外,我们还有YouTube视频.深入对话。。。我们很想知道你对这篇文章的看法。与作者见面推特立即加入对话!如果您想在我们的文章上做广告或想要赞助文章,请联系我们。 联系我们