Wrodpress DDOS /xmlrpc.php

Tak wygląda mój nginx access.log, pisząc tym razem nieskończoność:

127.0.0.1 - - [19/Jan/2016:00:59:36 -0500] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

Próbowałem wprowadzić wspólną poprawkę, która wydaje się wstawiać następujące elementy do mojego pliku functions.php:

add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );
  function remove_xmlrpc_pingback_ping( $methods ) {
    unset( $methods['pingback.ping'] );
    return $methods;
} ;

Ale niestety powyższy fragment nadal nic nie robi, mój serwer robi to dzisiaj przez cały dzień. To, co sprawia, że wydaje mi się to dziwne, to ip to 127.0.0.1

Obecnie działa Ubuntu 14 / Nginx / PHP5 FPM / MariaDB / Varnish

wordpress ddos

— Starboy
źródło

127.0.0.1 oczywiście ma charakter wewnętrzny. Czy sprawdziłeś swoje prace crona itp?

W przypadku zewnętrznych adresów IP rozwiązaniem jest Fail2Ban. Dopasowujesz taki wiersz dziennika w Fail2Ban, a Fail2Ban poinformuje zaporę o zablokowaniu tego adresu IP na określony czas.

Fail2Ban może być znacznie bardziej użyteczny dla WordPressa niż sam. Utrzymuje moje serwery w czystości na wiele sposobów.

— JayMcTee
źródło

Sam tutaj zdiagnozowałem. Problem 127.0.0.1 wynika z tego, że nie zgłaszałem „Real Ips” w NGINX. Ponieważ mam lakier w przedniej części, właśnie w ten sposób trafiałem w ten problem. Po około godzinie przeglądania logów poszedłem naprzód i zbanowałem 38 lub więcej ips ... Wydaje mi się, że nadal boję się wymyślić jakiś wyjątek, jeśli zobaczę prośbę X w X ms, powinna ona automatycznie zablokować ... Ale mogę sobie wyobrazić tylko wyjątki od reguły będę miał ze zwykłych użytkowników ..

— Starboy

Tego rodzaju banowanie oparte na regułach jest dokładnie tym, co robi dla ciebie Fail2Ban. Przeczesując swoje dzienniki, powinieneś być w stanie wymyślić wzór, który nie należy do rzeczywistego użycia. Następnie możesz banować na podstawie tego problemu.

— JayMcTee

Dzięki za wskazówkę Jay, miałem zamiar sprawić, by Fail2ban oglądał access.log pod kątem tych wyjątków, ale słyszałem, że to nie byłby dobry pomysł?

— Starboy

Nie rozumiem, dlaczego to zły pomysł, ponieważ tak właśnie powinno być. Fail2Ban zakazuje mi wielu rzeczy związanych z WP, od prób logowania po próby spamowania i wszystko pomiędzy.

— JayMcTee