V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
realpg
V2EX  ›  程序员

刚被一波 WordPress 给 DDOS 了……

  •  1
     
  •   realpg ·
    realpg · 2016-06-20 15:54:42 +08:00 · 4240 次点击
    这是一个创建于 3078 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目测是某种有后门的插件,受黑客控制。 突然某时开始,有将近三万个 IP 请求我的网站首页(三万是事后加总统计所有 IP 接近三万个),立刻触发了静态保护,首页生成 html 。 三万个 IP ,每个的访问密度并不大,其中一多半是国外的,少量在中国的服务器也是英文 wordpress 好像每个服务器发起请求同时就一个,要等一个超时或者有回应以后才发起后一个 实时 CC 控制台上看,所有请求清一色 UserAgent 都是 WordPress/4.x.x 之类的……

    当然比较好解决,前端 webserver 上直接 filter 包含 WordPress 的 UserAgent 的连接 记录 IP 直接 DROP 这些服务器发起的包, PHP fastcgi 负载立刻下降搞定

    18 条回复    2016-06-21 12:04:42 +08:00
    yekailyu
        1
    yekailyu  
       2016-06-20 16:25:23 +08:00
    pingback 攻击

    参考
    https://toster.ru/q/139279
    https://sysadminblog.net/2016/05/blocking-wordpress-pingback-verification-ddos/

    nginx 就屏蔽 useragent , iptables 写规则也行。

    俄罗斯好像很流行。。。
    kideny
        2
    kideny  
       2016-06-20 16:31:35 +08:00
    最近这个月,大概给 DDOS 了近 40 次,哥都没当回事。
    tangzhehao
        3
    tangzhehao  
       2016-06-20 16:33:33 +08:00
    貌似还是 xmlrpc 的锅吧?之前是爆破: http://tzh.in/269.html ,后来就被利用到通过 ping 做肉鸡。
    designer
        4
    designer  
       2016-06-20 17:07:00 +08:00
    我的博客也被 DDOS 攻击了。阿里云自动帮我关闭和开启。无所谓啦。
    googlebot
        5
    googlebot  
       2016-06-20 17:12:37 +08:00 via Android
    把这几个 wordpress 的 php 文件删了
    aksoft
        6
    aksoft  
       2016-06-20 17:22:54 +08:00
    哈哈,我那几个天天被干,已经习惯了。。
    BearTher
        7
    BearTher  
       2016-06-20 17:26:23 +08:00
    @yekailyu 是的 俄罗斯很流行,以前用 SAE ,第一天刚充了 100 块云豆,第二天欠费了。。。
    VmuTargh
        8
    VmuTargh  
       2016-06-20 17:35:49 +08:00
    xiaoz
        9
    xiaoz  
       2016-06-20 17:42:11 +08:00
    是不是末尾还有 pingback ,可能是 pingback 攻击,之前我也遭了,建议国外 IP 先解析到 127.0.0.1
    Andy1999
        10
    Andy1999  
       2016-06-20 18:12:59 +08:00 via iPhone
    @VmuTargh 他打的是我静态文件
    nsgit
        11
    nsgit  
       2016-06-20 18:32:18 +08:00
    @Andy1999 打静态文件能叫打?
    Andy1999
        12
    Andy1999  
       2016-06-20 18:35:43 +08:00 via iPhone
    @nsgit 峰值 12Gbps 你来试试看?
    xbdsky
        13
    xbdsky  
       2016-06-20 19:20:04 +08:00
    被搞过
    MikuM97
        14
    MikuM97  
       2016-06-20 19:23:36 +08:00
    我用 wp 做的站都把那个 xmlrpc.php 删除了,反正没用,老是爆漏洞
    jrhu05
        15
    jrhu05  
       2016-06-20 19:42:55 +08:00
    我那垃圾博客都没人看得上,从来没被人攻击过,好忧伤啊。
    realpg
        16
    realpg  
    OP
       2016-06-21 08:41:47 +08:00
    @yekailyu
    就是这玩意

    @BearTher
    其实不是俄罗斯流行
    操作控制这个的一般是俄罗斯的肉鸡而已
    我这次遇到的是个智利的 IP
    因为这个客户是个竞争激烈的项目,所以上线之前就有被同行打的觉悟,跟国外一点业务没有,肯定是国内的人控制的。当然我也做好了各种预案

    @Andy1999
    峰值 12Gbps 的 cc ?你前面是硬防还是 cdn ?这个很好清洗啊


    @jrhu05
    你可以把网址发到 V2EX 或者隔壁 VPS 交流站
    Andy1999
        17
    Andy1999  
       2016-06-21 08:50:09 +08:00 via iPhone
    @realpg CDN CDN 节点特么对静态文件的 CC 默认死扛不防御 然后全部都是 200 不会 50x
    afxcn
        18
    afxcn  
       2016-06-21 12:04:42 +08:00
    你强, 12Gbps 都没事,在 digitalocean 上, 1G 就被黑洞了。


    http://chinawhale.com/p/369/
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2774 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 07:50 · PVG 15:50 · LAX 23:50 · JFK 02:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.