WordPressへの攻撃的なアクセスをするIPアドレスをリストアップする方法

@iwasaki 112views 更新:2015年12月25日

http://iritec.jp/web_service/10258/

にあるように攻撃先のファイル名は「xmlrpc.php」が含まれることが多いようです。

ここにアクセスをしているIPアドレスを列挙してみます。

nginxを使っているので、アクセスログを解凍して、1ファイルに結合、列挙してみましょう。

gunzip -rf /var/log/nginx/
cd /var/log/nginx/
cat /var/log/nginx/* >> output.log
grep "xmlrpc.php" output.log | cut -f 1 -d " " | sort | uniq -c | sort -g -r | more

同様にして攻撃を受けやすいファイルを調べるといいかと思います。

grep "wp-config.php" output.log | cut -f 1 -d " " | sort | uniq -c | sort -g -r | more
grep "wp-cron.php" output.log | cut -f 1 -d " " | sort | uniq -c | sort -g -r | more
grep "admin.php" output.log | cut -f 1 -d " " | sort | uniq -c | sort -g -r | more

ログイン / 新規登録してコメントする

このソースコードをストックして後で利用したり、作業に利用したソースコードをまとめることができます。

こちらもお役に立つかもしれません