昨日の朝から攻撃をされ続け、IPロックしたよ〜のメールが届き続けていたわけですが、xmlrpc.phpへのアクセス制限をしてみた後から、メールがこなくなりました。

良かった。。

ですが、相変わらずアクセスは試みている様です。気持ち悪い。
これは管理画面が見えててログインを試みているのか?どういうことなんだろう。
IPロックのメールが来てないからログインを試みる事は出来てないのかな?
でもadministratorとか入力を試してるっぽいしな…謎ですw


ログイン画面を変更するLogin rebuilderのプラグインのログ
スクリーンショット 2014-09-03 5.32.28

こっちは、ログインをロックするプラグイン limit login attemptsのロックされたIPログ画面。
スクリーンショット 2014-09-03 5.29.09

ログインをロックされたログを見てみるとアカウントは
adminやtest、administrator、adm、support、admin1
など、一般的に使われそうなものや、ドメインのglow-g

などでした。

中には、アカウントを当てていて、しつこくパスワード入力を試みてロックされているものもあり、寒気がしました..。

パスワードが短ければログインされてたかもしれない…

安易なアカウントとパスワードは本当にやめましょう。

最終的に、xmlrpc.phpのアクセス制限をしたことで解決
という感じですが、色んなパターン対策としてログイン入力を一定回数間違えるとロックするプラグインと、ログイン画面のURLを変更するプラグインは設置しておいてもいいのかなと思います。(ログイン画面のURL変更については、スマホアプリなどでもログインしている場合アクセス出来なくなるので、設定変更が必要になるので注意)

IP制限は国内のみに制限しても、国内からのアクセスもきてる(国内に見せかけてる?)ようなので、意味無さそうです。

しかも、wp-login.phpにのほほんとIP制限かけてたってまったく無意味だったわけで、IP制限をかけるファイルもいたちごっこ。
xmlrpc.phpだったとは。。という感じです。

また何か進展があればメモしておきたいと思います。

2014/9/4 追記

サーバー管理会社に念のため連絡してみたら調べてくださいました。

  • 『xmlrpc.php』を含むURLへのアクセスが15,730回
  • アクセス元IPアドレスは、国内外混在し全部で『4,905』のIPアドレスからのアクセス

時間ごとによるアクセス一覧も出してくれていて、一番多い時で800回以上来ていました。

xmlrpc.phpは様々な使い方をされるので、アクセス拒否をしてしまうと困る場合もありますので、解決法については注意です。

IPアドレスを国内外混在して色んなIPで来ている割に、このログイン画面変更のプラグインで見るとなぜか、同じIPのみ。

本当のIP(?)が表示されてる…?

ログイン画面を変更するプラグインLogin rebuilderでアクセスに失敗したログが出るのですが、このログのIPをwp-banプラグインでアクセス禁止にしてみたらアクセスが止まりました。

スクリーンショット 2014-09-03 5.32.28

よくわかりませんが、ひとまずメモです。