Регистрация Войти
Рейтинг:0
That Brazilian Guy avatar Server

Блокировать `//xmlrpc.php`

флаг cn
That Brazilian Guy

Я получаю десятки тысяч (вероятно, вредоносных) обращений к Apache, которые выводят сервер из строя. Все попадания в журнале Apache выглядят следующим образом:

[30/янв/2022:21:57:41 +0000] "POST //xmlrpc.php HTTP/1.1" 200 630 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, как Gecko) Chrome/88.0.4240.193 Safari/537.36"

(Обратите внимание на двойную косую черту. Я не знаю, что это значит.)

Я добавил правило ниже в .htaccess, чтобы попытаться снизить нагрузку на сервер:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^//xmlrpc.php
RewriteRule .* - [F,L]
</IfModule>

Когда я бегу curl -kIL -X POST -H 'Хост: [УДАЛЕНО]' https://127.0.0.1:443/xmlrpc.php, я получаю код ошибки 403.

Однако, видимо, этого недостаточно: судя по логу, Apache продолжает возвращать 200 на запросы с двумя косыми чертами. Как я могу заблокировать эти запросы (вернуть 403)? Как я могу использовать curl/wget/etc, чтобы проверить, активен ли блок?

Мне нужно правило, чтобы "POST //xmlrpc.php HTTP/1.1" не возвращал 200 (HTTP OK) и вместо этого возвращал 403.

59
0 + 0
Chris avatar
флаг it
Chris
* но //xmlrpc.php продолжает отображаться в журнале. * Для меня это неясно. Проблема связана с двойной косой чертой? `//`. Ответ 403 означает *работает*, но правило не запрещает регистрировать запросы, это другое дело.
0
Ответить
That Brazilian Guy avatar
флаг cn
That Brazilian Guy
Мне нужно правило, чтобы `"POST //xmlrpc.php HTTP/1.1"` не возвращал 200 (HTTP OK). Как мне этого добиться?
0
Ответить
Chris avatar
флаг it
Chris
Я только что протестировал RewriteCond, и он не работает. Единственное, что работает, это `RewriteCond %{REQUEST_URI} ^/xmlrpc.php` с 1 косой чертой, которая блокирует как `/xmlrpc.php`, так и `//xmlrpc.php`. Если вы хотите блокировать все запросы, это хорошо для вас, но если вы хотите блокировать только запросы с двойной косой чертой, я не знаю.
0
Ответить
Рейтинг:1
Tilman Schmidt avatar Server
флаг bd
Tilman Schmidt

Как можно быстрее отключите XML-RPC в вашей установке WordPress. Это большой риск для безопасности, и проблема, которую вы видите сейчас, — это только начало. См. например https://www.getastra.com/blog/cms/wordpress-security/wordpress-xml-rpc-exploit-everything-you-need-to-know/ для деталей. (Ни в коей мере не связаны.)

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.