1
CYKun 2016-10-15 08:57:59 +08:00 via Android
ban IP 啊
|
2
Mac 2016-10-15 08:59:13 +08:00
这是老 BUG 了,你不用远程写 BLOG 的功能的话,直接把 xmlrpc.php 删了或者改名就可以了。
|
3
sfree2005 2016-10-15 09:03:36 +08:00
可以在你的.htaccess 添加
``` # Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files> ``` |
4
Kaiyuan 2016-10-15 09:10:12 +08:00 1
禁止通过 IP 访问,禁止访问 xmlrpc.php ,如果是国外网站又对访问速度不太在意的就套一层 Cloudflare, 国内网站有备案的也可以,不过速度还是会慢。
我的设置是非域名访问都会 301 到 Cloudflare 主页,然后偶尔看看日志,发现这类请求直接添加 IP 到 iptables 黑名单。 我这里收到的攻击都是法国的 scaleway 多,毕竟那个 VPS 只要 €2.99/month ,配置还不错。 |
6
misaka19000 2016-10-15 09:12:23 +08:00
加一个巨复杂的验证码?
|
7
sfree2005 2016-10-15 09:17:55 +08:00
@pyufftj 不用重启,即使继续被爆破,加了之后还是减轻了很多负担,实在不行就只能通过防火墙 ban 掉那些个 IP 了。
|
8
livc 2016-10-15 09:18:57 +08:00 via iPhone
在 v 站发你的博客地址了吧😏
|
9
incesa 2016-10-15 09:22:52 +08:00
闲的蛋疼的脚本小子吧,我的也天天被这么搞
|
11
loveyu 2016-10-15 09:27:56 +08:00
我是这样玩的,然后只允许自己手机的 UA 访问,之后再也没见过别人暴密码了
location ~/xmlrpc\.php* { rewrite (.*) /xmlrpc_filter.php; } |
12
breestealth 2016-10-15 09:32:23 +08:00
你需要这个插件“ iThemes Security ”,当中有很多有用的安全设置,亲身经验非常有效。
|
13
uyhyygyug1234 2016-10-15 09:38:18 +08:00 via Android
fail2ban
|
15
lan894734188 2016-10-15 09:46:42 +08:00 via Android
验证码
|
16
isbase 2016-10-15 09:49:18 +08:00 via Android
fail2ban 挺好用的
|
17
pyufftj OP @breestealth 好的,谢谢啦!
|
18
pyufftj OP @sfree2005 恩,现在好了。妈蛋,我把文件改名了,他还是不停一秒钟发几个 post ,不过返回 404 。直接把 ip ban 了,终于清静了。
|
19
Technetiumer 2016-10-15 10:31:28 +08:00 via Android
直接伪装成破解成功,清静了
|
20
ZE3kr 2016-10-15 10:52:52 +08:00 via iPhone
https://www.v2ex.com/t/310759#reply9 遇到过同样问题,我是安装 Wordfence 解决的
其实吧,密码设置一定要足够复杂,不怕破解。每秒 3 次能破解出啥。攻击者也不是针对你。而且这种频率占不了多少配置。 日志大的话,关了就行了 |
21
cevincheung 2016-10-15 10:54:46 +08:00
有两步验证插件的路过。。表示密码就是 admin 。。来吧。
|
22
ZE3kr 2016-10-15 11:06:17 +08:00 1
看错了,大概每秒 7 次左右,这种频率也不低了。(删 xmlrpc 会导致一些问题,比如客户端无法使用等,个人不建议)
ban ip 只是暂时的,攻击者 IP 又很难确定,以下方法很通用: 我用的 Nginx ,在 http{}里加上这一行: limit_req_zone $binary_remote_addr zone=php:10m rate=2r/s; 在 server{} 里的 location ~ [^/]\.php(/|$) {} 里加上 limit_req zone=php burst=16; 这样就能限制每 IP 每秒最多两次请求,否则 503 。静态内容不受影响 这能有效解决 CPU 占用问题,然后再配合各种插件,通过 PHP 再加一层屏蔽,这种方法没前者高效,但同样必要。 log_not_found off; —— 404 页面不去记录日志 |
23
kn007 2016-10-15 11:15:24 +08:00
最简单的就是给 wordpress 的 login 套上一层简单验证。
https://kn007.net/topics/wordpress-how-to-protect-the-wp-login-php-and-wp-cron-php/ |
25
falcon05 2016-10-15 12:27:31 +08:00 via iPhone
以前写过一个插件,把 xmlrpc 实现了二次验证
|
26
McContax 2016-10-15 12:33:08 +08:00 via iPhone
Wordpress 的话用极验验证可以解决的吧,而且还是免费,这个还可以用来阻挡垃圾评论,效果超好。
|
27
congeec 2016-10-15 12:48:55 +08:00
搞定了以后可以用蜜罐玩玩脚本小子
|
28
rosu 2016-10-15 15:59:44 +08:00
搜一下插件就行了
|
29
lalala2016 2016-10-15 16:28:04 +08:00 via Android
给后台页面设置固定 ip 访问权限,除了指定 ip 外其他的通通拒绝。还有个比较傻瓜式的方法,有些 cdn 有路径访问限制功能,先上 cdn 再更换 ip (这个是必须的,就算不允许 ip 访问可只要知道域名和真实 ip 一样能爆破,这时 cdn 已经被废掉了),在 cdn 后台设置禁止访问网站后台,然后自己电脑 host 真实 ip (目的是绕开 cdn 防护),这样就只有自己能登陆后台了。如果想把防御设置的更变态一些,就把 cdn 的 ip 段和自己的 ip 加入服务器白名单,,除此外拒绝一切 ip ,这样子如果不是顶尖高手恐怕没人能破得了,安全性 99.999999 %
|
30
axot 2016-10-15 16:30:06 +08:00 via iPhone
otop 不行吗
|
31
axot 2016-10-15 16:32:06 +08:00 via iPhone 1
打错了 totp
|
32
cevincheung 2016-10-15 16:35:04 +08:00
@axot 对的有插件完美解决。
|
33
wevsty 2016-10-15 22:30:13 +08:00
同被这个 ip 盯上,结果把我的小机搞挂掉了。。。
果断 iptables 禁止 IP 段,然后.htaccess 禁用 xmlrpc.php 了 |
34
j8sec 2016-10-16 01:27:12 +08:00
recaptcha
|
35
hoythan 2016-10-16 01:58:12 +08:00
删除 xmlrpc.php 就可以了
其他可以删除并且有作用的有 |
36
hoythan 2016-10-16 02:00:01 +08:00
wp-trackback.php
readme.html license.txt wp-comments-post.php wp-mail.php wp-cron.php 作用虽然有,但是作用不大,基本可以用其他插件或者自己写的主题功能代替. 尤其是 comments 是 wp 所有垃圾评论的根源文件. |
37
tangzhehao 2016-10-16 04:30:20 +08:00
xmlrpc 一定要关闭
http://tzh.in/269.html |
38
hasbug 2016-10-16 22:05:50 +08:00
一有新版就升级的路过
|
39
sky170 2016-10-20 15:53:27 +08:00 via iPhone
google Authenticator
|