Tengo varios blogs de WordPress alojados, y he estado tratando de visitarlos y son muy lentos. Miré los registros de mi servidor y encontré esto
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:28 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:29 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
stanfordflipside.com:80 188.138.33.149 - - [17/Aug/2013:17:14:31 -0700] "POST /xmlrpc.php HTTP/1.1" 200 595 "-" "GoogleBot/1.0"
Recibo ~ 10 visitas por segundo al archivo /xmlrpc.php desde GoogleBot a varios sitios, y esto parece estar ralentizando el servidor. Estoy corriendo
tail -f
en el archivo de registro, y puedo ver que estas solicitudes continúan. ¿Alguien sabe por qué esto podría estar sucediendo o qué podría hacer para detenerlo?
server-load
jkeesh
fuente
fuente
Respuestas:
Bloquearía la IP
iptables
si fuera yo, y si tiene ese tipo de acceso a nivel de servidor.También puede deshabilitar xmlrpc. Desafortunadamente, desde 3.5 se ha eliminado la opción de pantalla de administrador para deshabilitar esa función. Sin embargo, una sola línea de código debería deshabilitarlo:
add_filter( 'xmlrpc_enabled', '__return_false' );
eso podría ahorrar algo de sobrecarga de las solicitudes, aunque no eliminará todo.fuente
"Googlebot" no tiene ninguna razón para acceder a xmlrpc.php. Puede agregar esto a la parte superior de su xmlrpc.php
Supongo que es un archivo central de WordPress. Por lo tanto, puede ser molesto mantener esto actualizado. Sería bueno si Automattic usara Akismet para poner en una lista negra estas IP de todos los scripts de WP, en todas partes.
Actualización: terminé eliminando el permiso con
chmod 0 xmlrpc.php
(ver mis comentarios) después de que un DDoS comenzó a gravar mi servidor. En otras palabras, este código PHP condicional podría no impedir que un atacante agresivo inhabilite temporalmente su blog. En cualquier caso, generalmente se rinden bastante rápido.fuente
exit()
en la parte superior del archivo ya que siempre usamos wp-admin para editar páginas. Me pareció una debilidad relativa en Wordpress que me preocupa de implementar WP para una gran organización. Con el xmlrpc deshabilitado no tendría que preocuparme, ¿verdad?bloquear la IP con iptables:
fuente
Si esto sucedió recientemente y estaba matando al servidor y ahora estamos usando fail2ban para mitigar el problema.
Se agregó esta configuración a jail.local :
Y cree el filtro en filter.d / apache-xmlrpc.conf :
En mi caso, los ataques no siempre provenían de googlebot, por lo que la expresión regular era un poco más amplia, pero para mis propósitos casi no hay una buena razón para que cualquier IP golpee xmlrpc más de 30 veces en 5 minutos.
fuente