警惕黑客利用xmlrpc.php攻击WordPress博客

广告

昨晚收到Linode的邮件,说VPS超过2小时CPU占用率超过70%,于是登陆上去查看进程,发现都是php-fpm。因为使用的是nginx,所以马上查看nginx日志先,发现了博客系统中不断有POST到xmlrpc.php的记录,Google后发现其实是用来破解密码的(也可以用来发动DDoS),不过鉴于频率并不高,所以可以确定只是破解,有兴趣了解的可以看看这篇文章:最新破解Wordpress后台密码的方法
20160715222743

参考了一下破解成功的XML文件,我用Nginx的rewrite模块重定向到了一个xml文件,

location = /xmlrpc.php {
if ( $request_method = GET ){
rewrite (.*) /methodxmlrcp.html last;
}
if ( $request_method = POST ){
rewrite (.*) /sucssxmlrcp.xml last;
}
}

其中methodxmlrcp.html的内容为:

<html><head></head>
 <body>
 <pre style="word-wrap: break-word; white-space: pre-wrap;">XML-RPC server accepts POST requests only.</pre>
</body></html>

其中sucssxmlrcp.xml的内容为

<methodResponse> 
 <params> 
 <param> 
 <value> 
 <array> 
 <data> 
 <value> 
 <struct> 
 <member> 
 <name>isAdmin</name> 
 <value> 
 <boolean>1</boolean>
 </value> 
 </member> 
 <member> 
 <name>url</name> 
 <value> 
 <string>http://blog.7xiaowu.cn/</string>
 </value> 
 </member> 
 <member> 
 <name>blogid</name> 
 <value> 
 <string>1</string>
 </value> 
 </member> 
 <member> 
 <name>blogName</name> 
 <value> 
 <string>游侠海外岛</string>
 </value> 
 </member> 
 <member> 
 <name>xmlrpc</name> 
 <value> 
 <string>http://blog.7xiaowu.cn/xmlrpc.php</string>
 </value> 
 </member> 
 </struct> 
 </value> 
 </data> 
 </array> 
 </value> 
 </param> 
 </params> 
</methodResponse>

最后重载了nginx后问题解决了

发表评论

电子邮件地址不会被公开。 必填项已用*标注

百度XML GoogleXML SiteMap

游侠海外岛 is Stephen Fry proof thanks to caching by WP Super Cache