Saya memiliki beberapa host blog wordpress, dan saya telah mencoba untuk mengunjungi mereka dan mereka sangat lambat. Saya melihat log server saya dan saya menemukan ini
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
Saya mendapatkan ~ 10 hit per detik ke file /xmlrpc.php dari GoogleBot ke beberapa situs, dan ini sepertinya memperlambat server. saya sedang berlari
tail -f
pada file log, dan hanya dapat melihat permintaan ini terus berlanjut. Adakah yang tahu mengapa ini mungkin terjadi atau apa yang dapat Anda lakukan untuk menghentikannya?
server-load
jkeesh
sumber
sumber
Jawaban:
Saya akan memblokir IP dengan
iptables
jika itu saya, dan jika Anda memiliki akses tingkat server semacam itu.Anda juga bisa menonaktifkan xmlrpc. Sayangnya, sejak 3,5 opsi layar admin untuk menonaktifkan fitur itu telah dihapus. Namun, satu baris kode harus menonaktifkannya:
add_filter( 'xmlrpc_enabled', '__return_false' );
Itu mungkin menghemat beberapa biaya tambahan dari permintaan, meskipun tidak akan menghilangkan semuanya.sumber
"Googlebot" tidak memiliki alasan untuk mengakses xmlrpc.php Anda dapat menambahkan ini ke bagian atas xmlrpc.php Anda
Saya menduga itu adalah file inti WordPress. Jadi mungkin menjengkelkan untuk terus memperbarui ini. Akan lebih baik jika Automattic menggunakan Akismet untuk daftar hitam IP ini dari semua skrip WP, di mana-mana.
Pembaruan: Saya akhirnya menghapus izin dengan
chmod 0 xmlrpc.php
(lihat komentar saya) setelah DDoS mulai mengenakan pajak pada server saya. Dengan kata lain, kode PHP bersyarat ini mungkin tidak menghentikan penyerang agresif dari menonaktifkan sementara blog Anda. Bagaimanapun, mereka biasanya menyerah dengan cepat.sumber
exit()
di bagian atas file karena kami selalu menggunakan wp-admin untuk mengedit halaman. Saya menemukan ini kelemahan relatif pada Wordpress yang membuat saya khawatir menerapkan WP untuk organisasi besar. Dengan xmlrpc dinonaktifkan saya tidak perlu khawatir, kan?blokir IP dengan iptables:
sumber
Apakah ini terjadi baru-baru ini dan itu membunuh server dan kami sekarang menggunakan fail2ban untuk mengurangi masalah.
Menambahkan konfigurasi ini ke jail.local :
Dan buat filter di filter.d / apache-xmlrpc.conf :
Dalam kasus saya, serangan tidak selalu datang dari googlebot sehingga membuat regex sedikit lebih luas tetapi untuk tujuan saya hampir tidak ada alasan yang baik untuk IP mana pun untuk memukul xmlrpc 30+ kali dalam 5 menit.
sumber