Passer au contenu principal

Plusieurs requêtes à xmlrpc.php dans WordPress

comp.ftp.sh Protection et sécurité


Aujourd'hui, j'ai examiné le journal d'accès d'un site pour WordPress et j'ai trouvé de nombreuses demandes de ce type: 

  1.234.83.77 - - [05 / Sep / 2014: 12: 07: 01 +0600] "POST /xmlrpc.php HTTP / 1.1" 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "
 1.234.83.77 - - [05 / Sep / 2014: 12: 07: 01 +0600] "POST /xmlrpc.php HTTP / 1.1" 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "
 1.234.83.77 - - [05 / Sep / 2014: 12: 07: 02 +0600] "POST /xmlrpc.php HTTP / 1.1" 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "
 1.234.83.77 - - [05 / Sep / 2014: 12: 07: 02 +0600] "POST /xmlrpc.php HTTP / 1.1" 200 441 "-" "Mozilla / 4.0 (compatible; MSIE 9.0; Windows NT 6.1; 125LA ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022) "

À en juger par les résultats de Google, il existe une sorte d’exploit lié à ce fichier - xmlrpc.php. Si j'ai bien compris, un article en anglais mentionnait ma faible connaissance de cette langue :) sur la possibilité d’organiser la sélection des mots de passe. Certes, je n’ai pas encore remarqué les conséquences, mais il est préférable de prendre des mesures à l’avance. :)



Auparavant publié une note sur la protection du site sur Wordpress contre la force brute . Et cette option est bien adaptée au cas d'aujourd'hui.

Le seul point: vous devez ajuster les règles en fonction de la demande. L'article cite un exemple:

 
  [Définition]
 failregex = <HOST>. * / wp-login.php HTTP / 1.1 "200
       <HOST>. * / Wp-login.php / HTTP / 1.1 "302
      <HOST>. * / Wp-login.php HTTP / 1.0 "200
 ignoreregex =

Cette liste de règles devrait être modifiée comme suit: 

  [Définition]
 failregex = <HOST>. * / xmlrpc.php HTTP / 1.
 ignoreregex =

Ou ajoutez une règle d'une nouvelle ligne à une liste existante. Si la protection a été configurée précédemment. Puis redémarrez fail2ban.

En même temps, toutes les requêtes http 1.0 et http 1.1 seront recherchées, tout code d'état reçu du serveur.




Comment évaluez-vous l'article?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 ( 1 évaluation moyenne de 1.00 sur 5)
Chargement ...

Ajouter un commentaire

Votre email ne sera pas publié.