阿里云内全球性能最弱的(一年免费试玩版)本服务器的基础监控图
磁盘I/O和CPU使用率都被干到高潮
昨天CPU 100%的主要原因是被大量调用了xmlrpc.php(DDOS攻击)
昨天没时间细看,只针对/var/log/nginx/access.log和/var/log/nginx/error.log里大量出现的通过调用xmlrpc.php来实施的DDOS攻击做了防范调整。
主要是在 /etc/nginx/conf.d/default.conf 加上了以下5行来阻断回调攻击:
location = /xmlrpc.php {
deny all;
access_log off;
log_not_found off;
}(注意:使用Jetpack插件的网站可能需要回调xmlrpc.php,不能这样简单处理)
今日CPU使用率又100%,调查后发现被攻击手法主要是以下三种
- 针对/wp-admin/setup-config.php等目录文件的大量试探访问(主要针对安装设置没完成的WordPress网站才有效,想夺取控制本网站)
- 对应方式(把下面这些不在需要的文件都删了):
- /wp-admin/setup-config.php
- /wp-config-sample.php
- /readme.html
- /license.txt
- 对应方式(把下面这些不在需要的文件都删了):
- REST API调用wp-json/wp/v2/users/或?author=1来收集用户信息(为后续的Brute-force攻击做准备)
- 对应方式(在 /etc/nginx/conf.d/default.conf 内加上以下行)
- location ~* /wp-json/wp/v2/users { deny all; access_log off; }
- 对应方式(在 /etc/nginx/conf.d/default.conf 内加上以下行)
- TLS攻击性扫描/握手试探
- 我网站上各Package都是最新版,应该没有TLS方面的漏洞,所以暂未对应,继续观察
- 因本服务器配置很弱,被调用太频繁导致日志生成太快太多也会把我服务器拖垮
- 若对方还是继续执拗地调用我这边的话,下次考虑加上自动禁IP功能
攻击方IP来自美国
本网站服务器开通了IPv6访问。攻击方在日志文件中留下的IP反查下来是来自美国的。
美国佬天天污蔑中国的黑客攻击,看来美国那边才是大黑窝、始作俑者。
评论