标题党一枚
从2月19号早上到现在(文章发布)我的博客还在遭受DDoS攻击
最开始访问网站感觉卡卡的,以为是Wordpress自带的特性,就没在意,但是,2月20号的时候,也就是昨天,奇安信和阿里云给我发了条短信,说我的站点可能遭受攻击,于是我点开360网站卫士安全日志,果不其然发现多个IP一直攻击xmlrpc.*这个文件
和以往的攻击方法不同,以前都是一个IP攻击十几次,现在是十几个IP同时攻击一次,这让我不禁想起了前几天土耳其黑客攻击事件
那我能做的是什么,当时第一时间想到的是闭站,但感觉这样不实际,不如写个蜜罐放在博客上,于是我把xmlrpc给改了名字
然后用php写了个IP记录仪,只有通过浏览器访问这个页面才能记录IP,这么做是为了看是否人为的,接着保存xmlrpc.php,想看看会不会有些收获
姜太公钓鱼愿者上钩,闲着也是闲着,百度了下xmlrpc的来龙去脉
https://www.cnblogs.com/weiyinfu/p/5293871.html
https://www.freebuf.com/articles/web/38861.html
https://www.laozuo.org/3083.html
发现在很早以前(14年左右)xmlrpc存在类似登入破解的漏洞,如果利用成功可以用来DDoS攻击。说白了,就是攻击快的话就造成DDoS
查了n久发现有多名博主跟我一样遭受到类似的攻击
但他们都是直接修改functions.php禁用XML-RPC的接口,我试着做了下,发现一点用都没有(毕竟是14年的了...)
那要咋整,访问之后发现还是能发送POST请求。。。
于是,我结合前几天博客安全给我发的登陆破解邮件,打算试试能不能从IP中获取点信息...
邮件一共俩封,都是登录失败次数过多,怀疑是通过bp查找id进行跑字典,但这样无疑是徒劳无用的。
通过 chaipip.com 之后发现这个IP来自俄罗斯,接着打开安全日志发现也记录了这个IP
但结合后面的攻击时间,发现这个ip攻击可能性较小,然后就没在研究了。
闲着蛋疼的我把安全日志所有指向xmlrpc.php攻击的IP给扒了下来,通过Github上的一个项目改了个小脚本直接把查询IP后的位置显示在世界地图上,并通过算法计算出热点,就是类似这样的渐变色▆▅▃▂▁
一共195个ip全部计算完,花费19.2m
通过对比,发现德国IP出现频率最高
出现频率16次
对这张世界地图感兴趣的可以访问
https://www.icecliffs.cn/sitepng.png
我已经所有流量都显示在这张图片上了
然后把cdn改成源IP,也就是暂时停止cdn解析直接把所有流量跑到真实IP,别问我为什么这么做,因为360显示的太少了
回源之后的几分钟,waf变得卡卡的,打开IP黑名单一看,已经记录了17个IP
PS:这些IP都是不能访问的,不管你设置X-Forward-xxx或其他IP代理,这waf都会反向查到你真实IP
接着返回刚才的 "蜜罐" 一看,发现了一个通过web访问xmlrpc的IP,一查,德国的
上下文对应,我们不难排除掉这个IP就是攻击我网站的,为了和这名匿名者交流,我在下方留下了我的微信,反正闲着也是闲着,不如和对方深入交流下,然后一项,欸,卧槽,他们好像不用微信,于是又留下了我的WhatsApp跟Twitter
在文末,刚才又访问了下,又发现一个新的德国IP
这里主要写一些我想说的话:
第一,肯定有人会认为我是自导自演,但你们不妨想想,我没事花钱买流量打自己干嘛...而且在很早之前,网站已经用腾讯压测大师进行测试了...
第二,为啥那么肯定就是德国的IP对你的站点进行DDoS
答:凭直觉
第三,会不会是搜索引擎进行收入
答:这个有考虑到,但没必要都搜xmlrpc.php吧
第四,会不会是别人类似C段批量扫描操作
答:有考虑过
好了,本文结束,安全小白一枚,不喜勿喷
