У меня есть несколько блогов WordPress, и я пытался посетить их, и они очень медленные. Я посмотрел журналы своего сервера и нашел это
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
Я получаю ~ 10 обращений в секунду к файлу /xmlrpc.php из GoogleBot на несколько сайтов, и это, похоже, замедляет работу сервера. я бегу
tail -f
в файле журнала, и можете просто видеть, что эти запросы продолжаются. Кто-нибудь знает, почему это может происходить или что вы можете сделать, чтобы остановить это?
server-load
jkeesh
источник
источник
Ответы:
Я бы заблокировал IP,
iptables
если бы это был я, и если бы у вас был такой доступ на уровне сервера.Вы также можете отключить xmlrpc. К сожалению, начиная с 3.5, опция экрана администратора для отключения этой функции была удалена. Хотя одна строка кода должна отключить его:
add_filter( 'xmlrpc_enabled', '__return_false' );
это может сэкономить некоторые накладные расходы на запросы, хотя это не устранит все это.источник
У "Googlebot" нет причин для доступа к xmlrpc.php. Вы можете добавить это в начало своего xmlrpc.php.
Я предполагаю, что это основной файл WordPress. Так что может быть раздражает держать это в курсе. Было бы неплохо, если бы Automattic использовал Akismet для внесения в черный список этих IP-адресов из всех сценариев WP, везде.
Обновление: я закончил тем, что удалил разрешение с
chmod 0 xmlrpc.php
(см. Мои комментарии) после того, как DDoS начал облагать налогом мой сервер. Другими словами, этот условный код PHP не может помешать агрессивному злоумышленнику временно отключить ваш блог. В любом случае они обычно сдаются довольно быстро.источник
exit()
вверху файла, так как мы всегда используем wp-admin для редактирования страниц. Я обнаружил, что это относительный недостаток Wordpress, который заставляет меня беспокоиться о внедрении WP для большой организации. С отключенным xmlrpc мне бы не пришлось беспокоиться, верно?заблокировать IP с помощью iptables:
источник
Если бы это произошло недавно, это убивало сервер, и теперь мы используем fail2ban, чтобы смягчить проблему.
Добавил этот конфиг в jail.local :
И создайте фильтр в файле filter.d / apache-xmlrpc.conf :
В моем случае атаки не всегда исходили от googlebot, поэтому регулярное выражение сделало его более широким, но для моих целей вряд ли есть веская причина для того, чтобы какой-либо IP-адрес выполнял xmlrpc более 30 раз за 5 минут.
источник