两天前,我注意到我的 WordPress 网站上的 SQL 服务器已关闭。我不明白为什么无法重新启动 SQL 服务器,因此我查看了我的日志。
我注意到这个 IP 正在访问我的 xmlrpc.php 文件。日志如下所示:
80.82.xx.xxx - - [06/Oct/2015:07:11:36 -0500] "POST /xmlrpc.php HTTP/1.0" 403 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
该 IP 每秒都会发出几次该请求,每次持续数小时。
我并不是一位经验丰富的系统管理员,也没有设置适当的安全措施,但在发生此事后,我:
- 为我的 wordpress 应用禁用 xmlrpc
- 在 cPanel 和 WHM 中将该 IP 列入黑名单
- 设置 cloud flare 并将自己置于 DDoS 模式
我现在注意到 IP 现在出现 403 错误,而以前没有:
80.82.xx.xxx - - [04/Oct/2015:07:02:48 -0500] "POST /xmlrpc.php HTTP/1.0" 500 251 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
我的问题是:
我是否已采取适当措施来保护我的服务器?我还应该做什么?
这些 403 错误会耗尽我的系统资源吗?
我是不是真的遭受了 DDoS 攻击,还是有其他原因?这种情况已经持续了 3 天。
什么时候可以安全地降低云耀斑设置?
谢谢。
答案1
我是否已采取适当措施来保护我的服务器?我还应该做什么?
你已经缓解了这次特定的攻击,但我不会相信你的“服务器”,因为它在你安装 cPanel/WHM 后就变成了一堆被攻陷的垃圾。我建议你学习恰当的服务器管理,从头开始重新安装服务器,避免将来再安装这样的无用的东西。
此外,我永远不会认为 Wordpress 是安全的,请考虑使用 Ghost 或静态站点来降低攻击面和资源使用率。
这些 403 错误会耗尽我的系统资源吗?
有一点点,但任何像样的服务器都应该能够在剩余大量资源的情况下每秒响应数百个 403 错误。
我是不是真的遭受了 DDoS 攻击,还是有其他原因?这种情况已经持续了 3 天。
这是非自愿的 DoS。攻击的真正动机是强行获取您博客的管理员凭据,但通过每秒发送如此多的请求,他们设法使您的数据库超载。此外,如果它来自单个 IP,则它只是 DoS,而不是 DDoS(这意味着分布式,即多个来源)。
什么时候可以安全地降低云耀斑设置?
好吧,正如您亲眼所见,Cloudflare 对这次攻击没有做太多的应对,所以我想这没什么区别。我个人认为,他们唯一擅长的事情就是隐藏服务器的真实 IP 并保护其免受带宽耗尽攻击,但其他任何内容(例如这些有效但仍然是恶意的请求)仍会通过。