Første nettsideangrep

Tidligere i dag skulle jeg skrive et nytt blogginnlegg da jeg plutselig oppdaget at nettsiden min var utilgjengelig. Først trodde jeg det var domenenavnet som ikke pekte riktig, så tenkte jeg at det kanskje var webserverløsningen (WAMP) eller nettverksdelen i OS-et som hadde klikket litt. Men etter å ha sjekket oppsettet til domenenavnet og tatt flere omstarter hadde jeg fortsatt det samme problemet.

Så la jeg merke til at Apache brukte 99% av CPU-en, derfor begynte jeg å lese i gjennom Apache sine loggfiler. Da viste det seg fort at det var en knøl fra Ontario i Canada som var årsaken. Han (eller hun) kjørte stadige forespørsler mot XML-RPC i WordPress hvor målet nok var å gjette seg frem til passordet.

Siden jeg nå visste årsaken til problemet trengte jeg bare å få en slutt på det. Jeg opprettet derfor med .htaccess blokkering av all tilgang til xmlrpc.php (hvor XML-RPC ligger) og all annen trafikk fra IP-adressene som ble brukt i angrepet.

OPPDATERING: Jeg flyttet blokkeringen av IP-adressene til brannmuren i stedet for. Da avvises trafikken på nettverkslaget i stedet for på applikasjonslaget og det sparer ressurser.

OPPDATERING: Etter flytting til Domeneshop og installasjon av applikasjonsbrannmur er det lite problemer å melde.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.