WordPressのxmlrpc.phpにDDoS攻撃があったので対策

2017年3月15日

サイトにつながりにくくなる…


夜中の3時にスマホが震えまして、なにかなと確認してみると
このホームページが表示できない旨のアラートが届いていました。

おそらくWordPressへのDDoS攻撃だろう、と思ってみると、やはりそのとおりでした。

以下のようにしてログを確認してみると、案の定、特定のIPアドレスからのみ、
異常な回数のアクセスがありました。

[root@web httpd]# grep xmlrpc.php iruka-system_access_log | gawk {'print $1'} | sort | uniq -c
  39997 191.96.249.53
 106628 191.96.249.54

IPアドレスの左の数字は、当サイトへのアクセス回数です。

当サイトは日本語で書いておりますので、ほとんどが日本国内からのアクセスです。
この2つの攻撃元IPアドレスは、どこからかな…と調べてみますと、

inetnum:     191.96.249/24
status:      reallocated
owner:       Dmzhost Limited
ownerid:     SC-DMLI1-LACNIC
responsible: JUPITER 25 LIMITED
address:     Francis Rachel Street, , Suite 1, Second Floor
address:      - Victoria -
country:     SC
phone:       +248 371 23801010 []
owner-c:     CHP23
tech-c:      CHP23
abuse-c:     CHP23
created:     20151217
changed:     20160423
inetnum-up:  191.96/16

nic-hdl:     CHP23
person:      CRS P
e-mail:      abuse@DMZHOST.CO
address:     Suite 4 Second Floor, ,
address:      - Victoria -
country:     SC
phone:       +248  37123801010 []
created:     20160423
changed:     20160522

country : SC とありますので調べてみると、
セーシェルという国からのようです。

 

xmlrpc.phpへの攻撃を防ぐ


xmlrpc.php ファイルが何者なのか、Wordpressの中においてどんな役割を果たしているのか、
私はWordpressにそれほど詳しくないのでわかりません。

ただし、以下のことはしっています。

  • これに対してDDoS攻撃がなされることが非常に多いこと
  • 一般向けには公開させる必要がなさそうなこと
  • しかし、すくなくとも当社のネット環境からはきちんとアクセスができる必要があること

そこで、べつのサイトでは.htacessを以下のようにしました。
111.111.111.111は一例で、本来は当社のIPアドレスが記述されています。

RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111$
RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/xmlrpc\.php" [R=301,L]

当社以外からのxmlrpc.phpへのアクセスは、すべてhttp://0.0.0.0/xmlrpc.php という
存在しないurlへ転送する、という設定です。

 

攻撃元に意地悪?な設定にしてみる


上述の設定でも充分役に立つのですが、今回は少し意地悪に、以下のようにしてみました。

RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111$
RewriteRule ^xmlrpc\.php$ http\:\/\/%{REMOTE_ADDR}/xmlrpc\.php [R=301,L]

これは、当社以外からのxmlrpc.phpへのアクセスは、すべてアクセス元IPアドレスへ転送する、
という設定です。

もしDDoS攻撃のプログラムが、きちんとurlの転送処理をするなら、
攻撃すると結局自分のサーバーに転送されてきて負荷をかける…
と、なれば、少しは気がはれるなぁと思いやってみました。

 

なお、当然ですが、この設定以外に、攻撃元のIPアドレス2つは、
ファイアウォールでアクセス拒否するようにしました。

 

この記事の著者

イルカシステム(株) イルカシステム株式会社

イルカシステム(株)は、以下のような業務用ウェブシステムのご提案、受託開発、運用を行っております。

1.中小企業さま向けの社内向け業務ウェブシステム(営業支援、顧客管理、受注管理、請求入金管理、在庫管理、経営数値管理など)

2.医療業界向けの業務改善システム

※業務ウェブシステムの開発を効率化するための自社サービス「イルカベーカリー」をご提供しております。
※医療業界向けに、臨床研究の無作為割付自動化のための自社サービス「ムジンワリ」をご提供しております。

お問合せはお気軽に、こちらからどうぞ! → イルカシステム株式会社へ問合せ

著者:イルカシステム株式会社

お問い合わせ




会社概要

<p>イルカシステム(株)</p>
<img src="http://www.iruka-system.co.jp/wp-content/uploads/2017/01/WS000000.png" alt="会社概要 住所" width="243" height="84" class="alignnone size-full wp-image-49" />
<div class="alert alert-warning">
2017/1/1より、住所変更いたしました。
</div>
<p><span class="label label-success">TEL</span> 03-5843-9168</p>

  • 中小企業 41個の記事

    中小企業様にご提案・開発してきた実績をもとに、システム構築について記載した様々な記事一覧です。

  • 社内システム 39個の記事

    様々な社内システムをご提案・開発してきた実績をもとに、システム構築について記載した様々な記事一覧です。

  • わかりやすさ 30個の記事

    情報システムをわかりやすく使いやすいものにするためのノウハウ、気をつけていることの記事一覧です。

  • UI設計 27個の記事

    UI(ユーザーインターフェース)は、システムの使い勝手を左右します。どんな点に気をつけているか、どんな考えでシステム開発しているかの記事一覧です。

  • 顧客管理 26個の記事

    これまで構築した様々なシステムのうち、顧客管理機能をどのような観点でご提案、開発しているかをまとめた記事一覧です。

  • 受注管理 18個の記事

    これまで構築した様々なシステムのうち、受注情報を管理する機能をどのような観点でご提案、開発しているかをまとめた記事一覧です。

  • ビジネス 18個の記事

  • 業務 16個の記事

  • 要件定義 14個の記事

    要件定義とはどのようなシステムを構築するのかを決める作業です。要件定義において注意し、考えていることをまとめた記事一覧です。

  • クラウド 13個の記事

  • 登録画面 13個の記事

  • 編集画面 12個の記事

  • システム会社 12個の記事

  • 情報共有 11個の記事

  • みえる化 11個の記事

    手作業をシステム化して効率化するだけでなく、それらの情報を集約して簡単に見えるようにし、社員が自律的に動ける組織を作ることが「みえる化」です。

  • 一覧画面 11個の記事

  • 業務用ウェブシステム 10個の記事

  • エクセル 9個の記事

  • コミュニケーション 9個の記事

  • セキュリティ 8個の記事