wordpress 网站一直被别人暴破密码,怎么办。。。

2016-10-15 08:51:56 +08:00
 pyufftj
191.96.249.54 - - [15/Oct/2016:08:48:05 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 502 568 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 502 568 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 502 568 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:06 +0800] "POST /xmlrpc.php HTTP/1.0" 502 568 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:07 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [15/Oct/2016:08:48:07 +0800] "POST /xmlrpc.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

查了一下 ip ,是塞舌尔的,我真是日了狗了。
网站本来就是建了玩玩的,配置很低, 它这样不停 post ,造成网站加载很慢。看了一下 log ,从昨天晚上到现在,一直在破解。。
这种情况怎么办啊
7764 次点击
所在节点    云计算
39 条回复
cevincheung
2016-10-15 10:54:46 +08:00
有两步验证插件的路过。。表示密码就是 admin 。。来吧。
ZE3kr
2016-10-15 11:06:17 +08:00
看错了,大概每秒 7 次左右,这种频率也不低了。(删 xmlrpc 会导致一些问题,比如客户端无法使用等,个人不建议)

ban ip 只是暂时的,攻击者 IP 又很难确定,以下方法很通用:

我用的 Nginx ,在 http{}里加上这一行:

limit_req_zone $binary_remote_addr zone=php:10m rate=2r/s;

在 server{} 里的 location ~ [^/]\.php(/|$) {} 里加上

limit_req zone=php burst=16;

这样就能限制每 IP 每秒最多两次请求,否则 503 。静态内容不受影响

这能有效解决 CPU 占用问题,然后再配合各种插件,通过 PHP 再加一层屏蔽,这种方法没前者高效,但同样必要。

log_not_found off; —— 404 页面不去记录日志
kn007
2016-10-15 11:15:24 +08:00
最简单的就是给 wordpress 的 login 套上一层简单验证。
https://kn007.net/topics/wordpress-how-to-protect-the-wp-login-php-and-wp-cron-php/
fhefh
2016-10-15 11:17:05 +08:00
@Kaiyuan 大哥 可以发个购买地址不 偶去看看
falcon05
2016-10-15 12:27:31 +08:00
以前写过一个插件,把 xmlrpc 实现了二次验证
McContax
2016-10-15 12:33:08 +08:00
Wordpress 的话用极验验证可以解决的吧,而且还是免费,这个还可以用来阻挡垃圾评论,效果超好。
congeec
2016-10-15 12:48:55 +08:00
搞定了以后可以用蜜罐玩玩脚本小子
rosu
2016-10-15 15:59:44 +08:00
搜一下插件就行了
lalala2016
2016-10-15 16:28:04 +08:00
给后台页面设置固定 ip 访问权限,除了指定 ip 外其他的通通拒绝。还有个比较傻瓜式的方法,有些 cdn 有路径访问限制功能,先上 cdn 再更换 ip (这个是必须的,就算不允许 ip 访问可只要知道域名和真实 ip 一样能爆破,这时 cdn 已经被废掉了),在 cdn 后台设置禁止访问网站后台,然后自己电脑 host 真实 ip (目的是绕开 cdn 防护),这样就只有自己能登陆后台了。如果想把防御设置的更变态一些,就把 cdn 的 ip 段和自己的 ip 加入服务器白名单,,除此外拒绝一切 ip ,这样子如果不是顶尖高手恐怕没人能破得了,安全性 99.999999 %
axot
2016-10-15 16:30:06 +08:00
otop 不行吗
axot
2016-10-15 16:32:06 +08:00
打错了 totp
cevincheung
2016-10-15 16:35:04 +08:00
@axot 对的有插件完美解决。
wevsty
2016-10-15 22:30:13 +08:00
同被这个 ip 盯上,结果把我的小机搞挂掉了。。。
果断 iptables 禁止 IP 段,然后.htaccess 禁用 xmlrpc.php 了
j8sec
2016-10-16 01:27:12 +08:00
recaptcha
hoythan
2016-10-16 01:58:12 +08:00
删除 xmlrpc.php 就可以了
其他可以删除并且有作用的有
hoythan
2016-10-16 02:00:01 +08:00
wp-trackback.php
readme.html
license.txt
wp-comments-post.php
wp-mail.php
wp-cron.php
作用虽然有,但是作用不大,基本可以用其他插件或者自己写的主题功能代替. 尤其是 comments 是 wp 所有垃圾评论的根源文件.
tangzhehao
2016-10-16 04:30:20 +08:00
xmlrpc 一定要关闭
http://tzh.in/269.html
hasbug
2016-10-16 22:05:50 +08:00
一有新版就升级的路过
sky170
2016-10-20 15:53:27 +08:00
google Authenticator

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/312937

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX