利用perl-oneline快速定位网站攻击源并处理

1、问题发现

在查看网站攻击信息,发现一个时间段流量徒增,猜测可能有攻击,记下当时的时间点,并截图

QQ图片20160216162446

这是百度免费cdn的免费统计信息,可见今天早上1点到2点有异常流量。

2、问题定位

(1)分析网站access的日志,分析1点日志

QQ图片20160216163045

可见确实有大量不同寻常的访问,可判断为对xmlrpc.php的攻击。

(2)对来源ip进行定位并统计次数

QQ图片20160216163426

可以明确看到是这两个ip在攻击,来源地都是美国

(3)对两个ip单独分析,分析其行为

QQ图片20160216163649

可见,这两个ip先通过搜索文章作者(访问/?author=x),找到用户名,然后对用户名和密码进行尝试攻击。

3、处理和后续扩展
首先对两个ip进行封禁

由于xmlrpc.php并没有实际中用到,直接删除,或者改名。

当然可以写一个自动处理脚本根据日志判断攻击ip,然后自动封禁,作为一个可持续的方案不错。

4、关于wp防护

注意多升级,可以尽可能的消除安全漏洞。
注意不用系统默认的用户。
用一些安全插件比如WPSecurty Scan,Better wp Securiry
可以用一些开源ids,比如snort等。

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注