Wordpressのxmlrpc.phpにDDoS攻撃があったので対策

公開日:2017/03/15

この記事は、書かれてから 3 年以上経過しており、内容が古い可能性があります。

サイトにつながりにくくなる...

夜中の3時にスマホが震えまして、なにかなと確認してみると
このホームページが表示できない旨のアラートが届いていました。

おそらくWordPressへのDDoS攻撃だろう、と思ってみると、やはりそのとおりでした。

マルウェアの防御 - Cisco AMP による高度なマルウェア防御 - Cisco

以下のようにしてログを確認してみると、案の定、特定のIPアドレスからのみ、
異常な回数のアクセスがありました。

[bash title="apacheのログを確認"]
[root@web httpd]# grep xmlrpc.php iruka-system_access_log | gawk {'print $1'} | sort | uniq -c
39997 191.96.249.53
106628 191.96.249.54
[/bash]

IPアドレスの左の数字は、当サイトへのアクセス回数です。

当サイトは日本語で書いておりますので、ほとんどが日本国内からのアクセスです。
この2つの攻撃元IPアドレスは、どこからかな...と調べてみますと、

[bash title="whoisで攻撃元IPアドレスの情報を表示"]
inetnum: 191.96.249/24
status: reallocated
owner: Dmzhost Limited
ownerid: SC-DMLI1-LACNIC
responsible: JUPITER 25 LIMITED
address: Francis Rachel Street, , Suite 1, Second Floor
address: - Victoria -
country: SC
phone: +248 371 23801010 []
owner-c: CHP23
tech-c: CHP23
abuse-c: CHP23
created: 20151217
changed: 20160423
inetnum-up: 191.96/16

nic-hdl: CHP23
person: CRS P
e-mail: abuse@DMZHOST.CO
address: Suite 4 Second Floor, ,
address: - Victoria -
country: SC
phone: +248 37123801010 []
created: 20160423
changed: 20160522
[/bash]

country : SC とありますので調べてみると、
セーシェルという国からのようです。

 

xmlrpc.phpへの攻撃を防ぐ

xmlrpc.php ファイルが何者なのか、Wordpressの中においてどんな役割を果たしているのか、
私はWordpressにそれほど詳しくないのでわかりません。

ただし、以下のことはしっています。

  • これに対してDDoS攻撃がなされることが非常に多いこと
  • 一般向けには公開させる必要がなさそうなこと
  • しかし、すくなくとも当社のネット環境からはきちんとアクセスができる必要があること

そこで、べつのサイトでは.htacessを以下のようにしました。
111.111.111.111は一例で、本来は当社のIPアドレスが記述されています。

[bash]
RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111$
RewriteRule ^xmlrpc\.php$ \"http\:\/\/0\.0\.0\.0\/xmlrpc\.php\" [R=301,L]
[/bash]

当社以外からのxmlrpc.phpへのアクセスは、すべてhttp://0.0.0.0/xmlrpc.php という
存在しないurlへ転送する、という設定です。

 

攻撃元に意地悪?な設定にしてみる

上述の設定でも充分役に立つのですが、今回は少し意地悪に、以下のようにしてみました。

[bash]
RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111$
RewriteRule ^xmlrpc\.php$ http\:\/\/%{REMOTE_ADDR}/xmlrpc\.php [R=301,L]
[/bash]

これは、当社以外からのxmlrpc.phpへのアクセスは、すべてアクセス元IPアドレスへ転送する、
という設定です。

もしDDoS攻撃のプログラムが、きちんとurlの転送処理をするなら、
攻撃すると結局自分のサーバーに転送されてきて負荷をかける...
と、なれば、少しは気がはれるなぁと思いやってみました。

 

なお、当然ですが、この設定以外に、攻撃元のIPアドレス2つは、
ファイアウォールでアクセス拒否するようにしました。

このページの著者

イルカシステム(株)は、以下のような業務用ウェブシステムのご提案、受託開発、運用を行っております。

  1. 中小企業さま向けの社内向け営業支援、顧客管理、経営数値管理システム

    経営数値をリアルタイムで見える化し、目標達成度を常に把握することができ、顧客へのフォローもスムースになります

  2. 中小企業さま向けの受発注管理、請求入金管理、在庫管理

    御社特有の受発注業務、出荷処理をシステム化することで業容拡大への大きなお手伝いとなります

  3. 医療業界向けの業務改善システム

    ※医療業界向けに、臨床研究の無作為割付自動化のための自社サービス「 ムジンワリ 」をご提供しております。

  4. IoTシステムの開発

詳しくは ご提供サービス を参照してください。

お読みいただきありがとうございました

システム会社からの提案には、自社で現実的に運用できるかを想像してみる

システム会社には、やりたいことより背景を説明する

こちらもおすすめ

システム化の相談はしてみたけれど...

中小企業のシステム導入に心強い補助金

お客様とのつながりを点数化し分析する

お客様との接点を記録することのメリット

顧客管理システムの目的は名簿作成ではない

顧客との接点を増やし売上をあげるシステム

お客様とのやりとりの記録のススメ

遠くのシステム会社が安い金額の提案をしてきたら?

システム会社に社内システムの保守を依頼するには

社内システムはできたあと、利用期間のほうが長い