V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Kaiyuan
V2EX  ›  问与答

是不是被发现网站是 Wordpress 就会被无脑 POST /xmlrpc.php?

  •  
  •   Kaiyuan · 2016-10-06 00:32:21 +08:00 · 4658 次点击
    这是一个创建于 3001 天前的主题,其中的信息可能已经有所发展或是发生改变。

    尽管我在 Nginx 设置了依然被无脑尝试暴力破解。

    location =/xmlrpc.php{
        deny all;
    }
    

    同时还禁止了通过 IP 访问并且拒绝所有 POST 请求,限制了请求频率。

    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
    
    limit_req zone=allips burst=5 nodelay;
    
    if ($request_method = POST ) {
    	deny all;
    }
    

    依然不断被尝试暴力破解。现在是发现一个 IP 直接加进 iptables

    顺带通过 IP 查到个欧洲那边价格不错的 VPS 。

    有的还伪装成 Google 爬虫。

    第 1 条附言  ·  2016-10-07 00:25:18 +08:00

    现在把 xmlrpc.php 换成下面的内容,好像能骗过他们。

    <?php
    header("Content-type: text/xml");
    echo '<?xml version="1.0" encoding="UTF-8"?><methodResponse><params><param><value><array><data><value><array><data><value><array><data><value><struct><member><name>isAdmin</name><value><boolean>0</boolean></value></member> <member><name>url</name><value><string>http://8.8.8.8/xampp/wordpress-4.3.1/</string></value></member><member><name>blogid</name><value><string>1</string></value></member><member><name>blogName</name><value><string>WordPress 4.3.1</string></value></member><member><name>xmlrpc</name><value><string>http://8.8.8.8/xampp/wordpress-4.3.1/xmlrpc.php</string></value></member></struct></value></data></array></value></data></array></value></data></array> </value></param></params></methodResponse>';
    
    第 2 条附言  ·  2016-11-03 10:45:37 +08:00

    我真的不知道该说什么好,那个人真的很想搞我的博客啊。 xmlrpc.php 没了之后还一直 GET,不断换 IP。我得罪了谁吗?

    90.106.238.117 - - [02/Nov/2016:19:27:03 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    90.106.238.117 - - [02/Nov/2016:19:27:03 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    68.84.99.29 - - [02/Nov/2016:19:28:09 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    68.84.99.29 - - [02/Nov/2016:19:28:09 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    68.84.99.29 - - [02/Nov/2016:19:28:15 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
    
    
    第 3 条附言  ·  2017-04-10 12:51:32 +08:00

    现在防火墙禁止 CF 外的 IP 访问服务器的 80443 端口,然后想办法判断访问来源,可疑的 POST 全部都 301 到随便一个 Download Test Files 的 10G 文件。

    但是还有一些 IP 能 POST 3次的,难道他们的内容特大?

    9 条回复    2016-10-07 02:33:01 +08:00
    a570295535
        1
    a570295535  
       2016-10-06 00:52:47 +08:00
    不管你用啥程序,都有人这样吃饱了没事干。。。

    最无聊的是发现你后台,一天一天试密码,我也是服了,

    后来试了几天没进去,还联系你告诉你,真是无语了。。。
    designer
        2
    designer  
       2016-10-06 00:55:32 +08:00 via iPhone
    为什么他要破解你的 wordpress ?内嵌他的广告吗?如果非技术人员如何知道自己的 Wordpress 网站是否被破解了
    cevincheung
        3
    cevincheung  
       2016-10-06 03:41:40 +08:00
    表示密码就是 admin 。不用破。有装两步验证插件。 xmlrpc 内容:
    <?php
    exit('Fuck');
    ZE3kr
        4
    ZE3kr  
       2016-10-06 07:39:38 +08:00 via iPhone   ❤️ 1
    是,很经常的,有时候能到每小时几千次破解,这些都是在安装了 Wordfence 才看出来的,这个插件能错误次数超过 3 自动 Block IP 。 Nginx 上的配置只能防 CC ,防密码破解效果不好。不过这些人才不管你是否屏蔽了他,还是会继续试, LZ 不用去管就好了。( SSH 也同样成为被破解的重灾区,不过操作系统已经会自动通过 iptables 屏蔽,让我很省心)

    不过 XMLRPC 关了后很多客户端就用不了了

    不过我最烦的还是去 Spam 评论内容的。不过也能通过 Akismet 解决

    @designer 破解之后能上传插件(除非你特殊配置),然后能干各种事,包括让你成为 DDOS 肉鸡。
    xenme
        5
    xenme  
       2016-10-06 08:35:35 +08:00 via iPhone
    @ZE3kr spam 加个正则去掉全英文以及把 post 地址改成非标准,目前没有一条垃圾评论。

    有时候升级的话,手动修改之前几分钟就有垃圾广告
    yytsjq
        6
    yytsjq  
       2016-10-06 10:02:08 +08:00
    用不到的话直接删除 xmlrpc.php 、 wp-trackback.php 之类文件呢?
    lslqtz
        7
    lslqtz  
       2016-10-06 17:55:13 +08:00
    @cevincheung exit 和 die 哪个吼一些
    lslqtz
        8
    lslqtz  
       2016-10-06 17:55:39 +08:00
    我是喜欢直接发个破解成功,让他们的工具判断错误的哈哈哈
    Coxxs
        9
    Coxxs  
       2016-10-07 02:33:01 +08:00
    这个是利用来 DDoS 攻击的,直接 ban 掉 ip 比较好。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3159 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 12:36 · PVG 20:36 · LAX 04:36 · JFK 07:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.