我们目前托管了 300 多个 wordpress 网站/安装,我正在尝试通过一些自制的努力来增强 WordPress 的安全性。
作为一名 IT 人员,我会查看日志。我一直在查看日志,我发现有大量的点击次数xmprpc.php- 所以我想,如果我们不使用它,而且考虑到我们的利基,没有人应该合法地点击该文件,为什么要禁用它呢?为什么不创建一个蜜罐呢?
我在安装过程中将符号链接到服务器后端的xmlrpc.php一个文件。IEphp
ln -s /var/www/myScripts/honeyPot/xmlrpc.php /var/www/example_0.com/xmlrpc.php
ln -s /var/www/myScripts/honeyPot/xmlrpc.php /var/www/example_1.com/xmlrpc.php
ln -s /var/www/myScripts/honeyPot/xmlrpc.php /var/www/example_2.com/xmlrpc.php
然后我把文件设为不可变的,以防止篡改:
chmod 0 /var/www/myScripts/honeyPot/xmlrpc.php
chattr +i /var/www/myScripts/honeyPot/xmlrpc.php
我的版本xmlrpc只是通过_SERVER _POST _GET和收集各种信息。然后它通过 API_SESSION抓取该特定用户的 IP 地址。CIDR
例如,这个 IP40.69.167.21命中后,API 返回的是Microsoft Corporation | CIDR 40.64.0.0/13
然后,我的脚本继续存储收集到的信息,并将违规行为存储CIDR在 MySQL 表中,此时我编写的 CRON 脚本将规则插入 UFW 防火墙。
ufw insert 1 deny from 40.64.0.0/13 to any
由于我封锁了整个 IP 块,在过去的 2 周里,这大大减少了网络流量和日志条目。到目前为止,我没有收到客户的投诉,到目前为止一切似乎都很好。有人能看出使用不应该在我们的设置上使用的文件来捕获这些 IP 有什么缺点吗?
此外,对于我们不使用但经常受到试图利用的机器人攻击的 15 个左右的文件名,这是否是一个可行的解决方案?
这主要是一个实验,但我认为我可能发现了一些东西。