VMのCPU使用量がときどき「ぐわっ」と上がることがあります。原因がわからず「サーバーの設定が悪いのかもしれない」などと思いつつ放置していました。ですがついに200%を超えてしまうことがあり「これは調査をした方がいいのでは?」と思い直しました。
アクセスログを見ると特定の時期に特定のIPアドレスからxmlrpc.phpにアクセスが集中しています。xmlrpc.phpってなんだろうと思い調べて見るとピンバックなどの通信に利用する機能だそうです。
ある記事によるとこれが脆弱性のもとになっていてここから侵入してシステムを盗む試み(ブルートフォースアタック)に使われるとのことでした。また単純にここにアクセスを集中させるとサーバーをダウンさせることもできるのだといいます。これが話に聞いたことがあるDDoS攻撃です。
xmlrpc.phpにアクセスすると「XML-RPC server accepts POST requests only.」という表示が出るのですが、一応推奨されているというプラグインが出ているので導入して見ることにしました。
2つ入れたのですが、今の所「XML-RPC server accepts POST requests only.」と表示され続けていて効果が出ているのかがよくわかりません。
バリデータというものがありこちらを使ったところ405が返されてプラグインが効いていることがわかりました。
おそらくこれまでのレンタルサーバーでも同じような攻撃は受けていたんだろうなあと思いましたが、サーバー管理などしたことがなかったので気がつかなかったのだろうと思いました。知らないって怖いですね。
コメントを残す