这是一个创建于 3485 天前的主题,其中的信息可能已经有所发展或是发生改变。
尽管我在 Nginx 设置了依然被无脑尝试暴力破解。
location =/xmlrpc.php{ deny all; } 同时还禁止了通过 IP 访问并且拒绝所有 POST 请求,限制了请求频率。
limit_req_zone $binary_remote_addr zOne=allips:10m rate=20r/s; limit_req zOne=allips burst=5 nodelay; if ($request_method = POST ) { deny all; } 依然不断被尝试暴力破解。现在是发现一个 IP 直接加进 iptables。
顺带通过 IP 查到个欧洲那边价格不错的 VPS 。
有的还伪装成 Google 爬虫。 
第 1 条附言 2016 年 10 月 7 日
现在把 xmlrpc.php 换成下面的内容,好像能骗过他们。
<?php header("Content-type: text/xml"); echo '<?xml version="1.0" encoing="UTF-8"?><methodResponse><params><param><value><array><data><value><array><data><value><array><data><value><struct><member><name>isAdmin</name><value><boolean>0</boolean></value></member> <member><name>url</name><value><string>http://8.8.8.8/xampp/wordpress-4.3.1/</string></value></member><member><name>blogid</name><value><string>1</string></value></member><member><name>blogName</name><value><string>WordPress 4.3.1</string></value></member><member><name>xmlrpc</name><value><string>http://8.8.8.8/xampp/wordpress-4.3.1/xmlrpc.php</string></value></member></struct></value></data></array></value></data></array></value></data></array> </value></param></params></methodResponse>'; 第 2 条附言 2016 年 11 月 3 日
我真的不知道该说什么好,那个人真的很想搞我的博客啊。 xmlrpc.php 没了之后还一直 GET,不断换 IP。我得罪了谁吗?
90.106.238.117 - - [02/Nov/2016:19:27:03 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-" 90.106.238.117 - - [02/Nov/2016:19:27:03 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-" 68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-" 68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-" 68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-" 68.84.99.29 - - [02/Nov/2016:19:28:08 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-" 68.84.99.29 - - [02/Nov/2016:19:28:09 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-" 68.84.99.29 - - [02/Nov/2016:19:28:09 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-" 68.84.99.29 - - [02/Nov/2016:19:28:15 -0400] "GET / HTTP/1.0" 301 185 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-" 第 3 条附言 2017 年 4 月 10 日
现在防火墙禁止 CF 外的 IP 访问服务器的 80 和 443 端口,然后想办法判断访问来源,可疑的 POST 全部都 301 到随便一个 Download Test Files 的 10G 文件。
但是还有一些 IP 能 POST 3次的,难道他们的内容特大?
 | 1 a570295535 2016 年 10 月 6 日 不管你用啥程序,都有人这样吃饱了没事干。。。 最无聊的是发现你后台,一天一天试密码,我也是服了, 后来试了几天没进去,还联系你告诉你,真是无语了。。。 |
 | 2 designer 2016 年 10 月 6 日 via iPhone 为什么他要破解你的 wordpress ?内嵌他的广告吗?如果非技术人员如何知道自己的 Wordpress 网站是否被破解了 |
 | 3 cevincheung 2016 年 10 月 6 日 表示密码就是 admin 。不用破。有装两步验证插件。 xmlrpc 内容: <?php exit('Fuck'); |
 | 4 ZE3kr 2016 年 10 月 6 日 via iPhone  1 是,很经常的,有时候能到每小时几千次破解,这些都是在安装了 Wordfence 才看出来的,这个插件能错误次数超过 3 自动 Block IP 。 Nginx 上的配置只能防 CC ,防密码破解效果不好。不过这些人才不管你是否屏蔽了他,还是会继续试, LZ 不用去管就好了。( SSH 也同样成为被破解的重灾区,不过操作系统已经会自动通过 iptables 屏蔽,让我很省心) 不过 XMLRPC 关了后很多客户端就用不了了 不过我最烦的还是去 Spam 评论内容的。不过也能通过 Akismet 解决 @designer 破解之后能上传插件(除非你特殊配置),然后能干各种事,包括让你成为 DDOS 肉鸡。 |
 | 5 xenme 2016 年 10 月 6 日 via iPhone |
 | 6 yytsjq 2016 年 10 月 6 日 用不到的话直接删除 xmlrpc.php 、 wp-trackback.php 之类文件呢? |
 | 7 lslqtz 2016 年 10 月 6 日 @cevincheung exit 和 die 哪个吼一些 |
| 8 lslqtz 2016 年 10 月 6 日 我是喜欢直接发个破解成功,让他们的工具判断错误的哈哈哈 |
 | 9 Coxxs 2016 年 10 月 7 日 这个是利用来 DDoS 攻击的,直接 ban 掉 ip 比较好。 |
Select Language