"Enter"a basıp içeriğe geçin

WordPress XMLRPC – Hack Girişimleri ve DDoS Durdurma

Dün akşamdan itibaren serverlerimizde yüksek cpu kullanım sorunları ile karşılaştık. Detaylı inceleme yaptığımızda serverdeki tüm wordpress sitelerimizde bulunan xmlrpc.php üzerinden çok sayıda giriş yapıldığını tespit ettik.

Home »Server Status » Service Status sayfasına girip baktığımızda wordpress yüklü olan tüm hesaplardan şunun gibi yüzlerce istek gördük:

/usr/bin/php /home/***/public_html/xmlrpc.php
/usr/local/apache/bin/httpd -k start -DSSL
/usr/local/apache/bin/httpd -k start

http-k-start xmlrpc

Saldırıyı yapan kişi wordpress şifresini ele geçirerek siteye sızmaya çalışıyor.
Çözümüne geçelim.

Fail2Ban Eklentisi Yükleme ve XMLRPC Saldırısı Engelleme

Putty programıyla serverinize bağlanın ve aşağıdaki komutu yazın.

yum install fail2ban

Yükleme esnasısnda onay isteyecek. Y ye basıp devam ediyoruz. Yükleme tamamlandıktan sonra;

nano /etc/fail2ban/filter.d/apache-xmlrpc.conf

yazıp entere basın. Boş bir sayfa gelecek. Aşağıdaki kodu kopyalayın ve açılan boş sayfaya yapıştırın. (farenin sağ tuşuna basarak yapıştırma işlemini yapabilirsiniz.) Ardından CTRL+X ve Y tuşlarına basarak kaydedip çıkın.

[Definition]
failregex = ^<HOST> .*POST .*xmlrpc\.php.*
ignoreregex =

Bu işlemin ardından;

nano /etc/fail2ban/jail.conf

yazın. Açılan sayfada bir çok kod mevcut. Klavyenizden PGDN (Page Down) düğmesiyle hızlıca en alta gelin ve aşağıdaki kodu yapıştırdıktan sonra kaydedip çıkın.

[apache-xmlrpc]

enabled = true
port = http,https
filter = apache-xmlrpc
action = iptables[name=apache-xmlrpc, port=http, protocol=tcp]
sendmail-whois[name=SSH, dest=you@youremailaddress.com, sender=fail2ban@yourser$
logpath = /home/*/access-logs/*
bantime = 43200
maxretry = 2

(kırmızı alanları kendinize göre düzenleyin).

Ayarları böylece tamamlamış olduk. Son olarak şunu yazıyoruz:

service fail2ban restart

Bu işlemin ardından fail2ban start OK yazısını görmeniz gerekiyor. İşlem tamamdır. Kısa sürede server cpu kullanımınız normal seviyeye dönecektir.

Geçmiş olsun.

Tek Yorum

  1. Samet Kadıoğlu Samet Kadıoğlu

    Teşekkürler bilgiler için. Aynısı bizimde başımıza geldi. Sağolsun arkadaş halletti 🙂

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir