Skip to main content

Множинні запити до xmlrpc.php в WordPress

ok.kr.ua Захист і безпека


Сьогодні заглянув в access-лог одного сайту на вордпресс і виявив безліч запитів подібного роду: 

  1.234.83.77 - - [05 / Sep / 2014: 12: 07: 01 +0600] "POST /xmlrpc.php HTTP / 1.1" 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "
 1.234.83.77 - - [05 / Sep / 2014: 12: 07: 01 +0600] "POST /xmlrpc.php HTTP / 1.1" 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "
 1.234.83.77 - - [05 / Sep / 2014: 12: 07: 02 +0600] "POST /xmlrpc.php HTTP / 1.1" 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "
 1.234.83.77 - - [05 / Sep / 2014: 12: 07: 02 +0600] "POST /xmlrpc.php HTTP / 1.1" 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "

Судячи з результатів гугленія, є якийсь експлоїт, пов'язаний з цим файлом - xmlrpc.php. В одній статті англійською говорилося, як я зрозумів, спираючись на свої погані знання цієї мови :), про можливість організувати підбір паролів. Правда, поки що я не помітив наслідків, але краще заздалегідь вжити заходів. :)



Раніше була опублікована замітка про захист сайту на вордпресс від брутфорса . І цей варіант відмінно підійшов і для сьогоднішнього випадку.

Єдиний момент: потрібно підкоригувати правила відповідно до запиту. У статті наводився приклад:

 
  [Definition]
 failregex = <HOST>. * / wp-login.php HTTP / 1.1 "200
       <HOST>. * / Wp-login.php / HTTP / 1.1 "302
      <HOST>. * / Wp-login.php HTTP / 1.0 "200
 ignoreregex =

Даний список правил слід модифікувати так: 

  [Definition]
 failregex = <HOST>. * / xmlrpc.php HTTP / 1.
 ignoreregex =

Або додати правило з нового рядка в існуючий список. Якщо захист була налаштована раніше. Після чого перезапустити fail2ban.

При цьому, буде проводиться пошук будь-яких запитів http 1.0 і http 1.1, з будь-яким статус-кодом, отриманим від сервера.




Як ви оціните статтю?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (1 оцінок, середнє: 1,00 з 5)
Завантаження ...

Додати коментар

Ваш e-mail не буде опублікований.