vue aérienne d'une belle île de villégiature
Mis en ligne le par Fernando

Bloquer xmlrpc.php sur Apache pour tous les domaines sur Ubuntu

J'avais une très forte consommation de CPU sur mon serveur Ubuntu, et la plupart de mes sites web Apache étaient hors service.

Je viens de vérifier les journaux d'Apache sur /var/log/apache2 et j'ai vu que quelqu'un faisait une attaque xmlrpc sur mes sites WordPress.

54.38.157.178 - - [01/Oct/2018:11:28:18 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible : MSIE 7.0 ; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:18 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible : MSIE 7.0 ; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:19 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible : MSIE 7.0 ; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:18 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible : MSIE 7.0 ; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:18 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible : MSIE 7.0 ; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:27:27 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible : MSIE 7.0 ; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:27:54 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible : MSIE 7.0 ; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:28:00 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible : MSIE 7.0 ; Windows NT 6.0)"
54.38.157.178 - - [01/Oct/2018:11:27:30 +0200] "POST /xmlrpc.php HTTP/1.0" 500 556 "-" "Mozilla/4.0 (compatible : MSIE 7.0 ; Windows NT 6.0)"

Le moyen le plus rapide de l'arrêter serait de bloquer ce fichier sur le serveur Apache.

Modifier ce fichier /etc/apache2/apache2.conf

Et ajoutez ces lignes là où vous le souhaitez

<files xmlrpc.php&gt ;
ordre allow,deny
deny from all
</files&gt ;

Ensuite, rechargez les fichiers de configuration d'apache2 avec :

service apache2 reload

Alors tous les problèmes sont résolus, je veux dire la consommation élevée de CPU, mais vous ne pourrez pas utiliser Jetpack pour mettre à jour vos plugins.

Il suffit de supprimer les 4 lignes ci-dessus du fichier apache2.conf et de recharger le serveur apache pour pouvoir à nouveau utiliser Jetpack pour mettre à jour les plugins.

Une autre solution serait de bloquer l'IP attaquante avec ufw par exemple ou mieux encore de configurer fail2ban avec ufw.

Articles connexes :

  1. Ubuntu Apache Tuning
  2. Vérifier tous les journaux de l'hôte virtuel Apache sur Ubuntu

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *