vista aérea de un hermoso complejo turístico isleño
Publicado el por Fernando

Bloquear xmlrpc.php en Apache para todos los dominios en Ubuntu

Estaba teniendo un consumo de CPU muy alto en mi servidor Ubuntu, y la mayoría de mis sitios web Apache estaban caídos.

Acabo de comprobar los registros de Apache en /var/log/apache2 y vi que había alguien haciendo un ataque xmlrpc a mis sitios WordPress.

54.38.157.178 - - [01/Oct/2018:11:28:18 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:18 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:19 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:18 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:18 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:27:27 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:27:54 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:00 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:27:30 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

La forma más rápida de detenerlo sería simplemente bloquear ese archivo en el servidor Apache.

Editar este archivo /etc/apache2/apache2.conf

Y añade estas líneas donde creas conveniente

archivos xmlrpc.php>
orden allow,deny
denegar desde todos
</archivos>

A continuación, vuelva a cargar apache2 archivos de configuración con:

service apache2 reload

Entonces todos los problemas arreglados, me refiero al alto consumo de CPU, pero usted no será capaz de utilizar Jetpack para actualizar sus plugins.

Sólo tiene que eliminar las 4 líneas anteriores de apache2.conf y volver a cargar el servidor apache para poder utilizar Jetpack de nuevo para actualizar los plugins.

Una forma alternativa sería bloquear la IP atacante con ufw por ejemplo o incluso mejor configurar fail2ban con ufw.

Entradas relacionadas:

  1. Ajuste de Apache en Ubuntu
  2. Comprobar todos los registros de Apache Virtual Host en Ubuntu

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *