最近网站的访问量统计发现,大量的访问请求来自第三方的国家,远远超过国内的访问量,主要是来自185.130.5.165这个IP的访问量严重的异常,怀疑是遭到了密码尝试攻击,跟踪日志:
|
1 |
tail -f /var/log/apache2/access.log |
发现如下记录大量重复出现:
|
1 |
185.130.5.165 - - [06/Apr/2016:10:51:44 +0800] "POST /xmlrpc.php HTTP/1.0" 200 584 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" |
由于我并不使用XML-RPC服务,因此考虑禁止对于xmlrpc.php的访问。
目前由于网站开启了.htacess的支持,因此,发现在.htacess中禁止文件访问是最高效的办法。
在.htacess的文件尾部增加如下语句即可:
|
1 2 3 4 5 |
# 禁止 WordPress xmlrpc.php 请求 <Files xmlrpc.php> order deny,allow deny from all </Files> |
修改后的文件内容变更为:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # 禁止 WordPress xmlrpc.php 请求 <Files xmlrpc.php> order deny,allow deny from all </Files> # END WordPress |
然后重启Apache2即可。
|
1 |
$sudo service apache2 restart |
然后就会发现访问http://www.mobibrw.com/xmlrpc.php的时候,直接返回了403禁止访问了。