WordPressのxmlrpc.phpにDDoS攻撃があったので対策

2017年3月15日

サイトにつながりにくくなる…


夜中の3時にスマホが震えまして、なにかなと確認してみると
このホームページが表示できない旨のアラートが届いていました。

おそらくWordPressへのDDoS攻撃だろう、と思ってみると、やはりそのとおりでした。

以下のようにしてログを確認してみると、案の定、特定のIPアドレスからのみ、
異常な回数のアクセスがありました。

[root@web httpd]# grep xmlrpc.php iruka-system_access_log | gawk {'print $1'} | sort | uniq -c
  39997 191.96.249.53
 106628 191.96.249.54

IPアドレスの左の数字は、当サイトへのアクセス回数です。

当サイトは日本語で書いておりますので、ほとんどが日本国内からのアクセスです。
この2つの攻撃元IPアドレスは、どこからかな…と調べてみますと、

inetnum:     191.96.249/24
status:      reallocated
owner:       Dmzhost Limited
ownerid:     SC-DMLI1-LACNIC
responsible: JUPITER 25 LIMITED
address:     Francis Rachel Street, , Suite 1, Second Floor
address:      - Victoria -
country:     SC
phone:       +248 371 23801010 []
owner-c:     CHP23
tech-c:      CHP23
abuse-c:     CHP23
created:     20151217
changed:     20160423
inetnum-up:  191.96/16

nic-hdl:     CHP23
person:      CRS P
e-mail:      abuse@DMZHOST.CO
address:     Suite 4 Second Floor, ,
address:      - Victoria -
country:     SC
phone:       +248  37123801010 []
created:     20160423
changed:     20160522

country : SC とありますので調べてみると、
セーシェルという国からのようです。

 

xmlrpc.phpへの攻撃を防ぐ


xmlrpc.php ファイルが何者なのか、Wordpressの中においてどんな役割を果たしているのか、
私はWordpressにそれほど詳しくないのでわかりません。

ただし、以下のことはしっています。

  • これに対してDDoS攻撃がなされることが非常に多いこと
  • 一般向けには公開させる必要がなさそうなこと
  • しかし、すくなくとも当社のネット環境からはきちんとアクセスができる必要があること

そこで、べつのサイトでは.htacessを以下のようにしました。
111.111.111.111は一例で、本来は当社のIPアドレスが記述されています。

RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111$
RewriteRule ^xmlrpc\.php$ "http\:\/\/0\.0\.0\.0\/xmlrpc\.php" [R=301,L]

当社以外からのxmlrpc.phpへのアクセスは、すべてhttp://0.0.0.0/xmlrpc.php という
存在しないurlへ転送する、という設定です。

 

攻撃元に意地悪?な設定にしてみる


上述の設定でも充分役に立つのですが、今回は少し意地悪に、以下のようにしてみました。

RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111$
RewriteRule ^xmlrpc\.php$ http\:\/\/%{REMOTE_ADDR}/xmlrpc\.php [R=301,L]

これは、当社以外からのxmlrpc.phpへのアクセスは、すべてアクセス元IPアドレスへ転送する、
という設定です。

もしDDoS攻撃のプログラムが、きちんとurlの転送処理をするなら、
攻撃すると結局自分のサーバーに転送されてきて負荷をかける…
と、なれば、少しは気がはれるなぁと思いやってみました。

 

なお、当然ですが、この設定以外に、攻撃元のIPアドレス2つは、
ファイアウォールでアクセス拒否するようにしました。

 

お問い合わせ

本記事(WordPressのxmlrpc.phpにDDoS攻撃があったので対策)にかかわること、 中小企業様さま向けの社内向け業務ウェブシステムにかかわることなど ご相談、ご質問などがありましたら何なりとお問い合わせください。





captcha

この記事の著者

イルカシステム(株) イルカシステム株式会社

イルカシステム(株)は、以下のような業務用ウェブシステムのご提案、受託開発、運用を行っております。

1.中小企業さま向けの社内向け業務ウェブシステム(営業支援、顧客管理、受注管理、請求入金管理、在庫管理、経営数値管理など)

2.医療業界向けの業務改善システム

※業務ウェブシステムの開発を効率化するための自社サービス「イルカベーカリー」をご提供しております。
※医療業界向けに、臨床研究の無作為割付自動化のための自社サービス「ムジンワリ」をご提供しております。

お問合せはお気軽に、こちらからどうぞ! → イルカシステム株式会社へ問合せ

著者:イルカシステム株式会社