http://iritec.jp/web_service/10258/
にあるように攻撃先のファイル名は「xmlrpc.php」が含まれることが多いようです。
ここにアクセスをしているIPアドレスを列挙してみます。
nginxを使っているので、アクセスログを解凍して、1ファイルに結合、列挙してみましょう。
gunzip -rf /var/log/nginx/ cd /var/log/nginx/ cat /var/log/nginx/* >> output.log grep "xmlrpc.php" output.log | cut -f 1 -d " " | sort | uniq -c | sort -g -r | more
同様にして攻撃を受けやすいファイルを調べるといいかと思います。
grep "wp-config.php" output.log | cut -f 1 -d " " | sort | uniq -c | sort -g -r | more grep "wp-cron.php" output.log | cut -f 1 -d " " | sort | uniq -c | sort -g -r | more grep "admin.php" output.log | cut -f 1 -d " " | sort | uniq -c | sort -g -r | more
