ニャッキ格闘列伝

久しぶりにやられました。

Muninのログを見る限り以下の通り。

1:30頃からCPUの消費率が急上昇。
特にnice値がいい感じに上がってきている。
Link:nice (UNIX) - Wikipedia
原因としてはApacheへのアクセス量が普段よりやたらに多い状態になったからみたい。

朝気づいたときにはApacheは落ちていなかったけどmysqlが落ちていた。
このタイミングでは状況がわからなかったのでmysqlを再起動すれば
問題ないでしょうと思ったけどそのあとも何かおかしい。

落ちる原因としてはblog関係が主なのでまずはApacheのログを
調べて見ることにします。

原因についてはすぐにわかりました。
この時間からWordpressのログインページのwp-login.phpが
すごい勢いで叩かれている。

これが総当たり攻撃(ブルートフォースアタック)なのでしょう。
アクセス先も全世界から調べた限りで500ヶ所くらいから
一斉にログイン処理を行おうとしているみたい。

一度サーバーが落ちてもサーバーが復帰するとアタックを開始するので
めちゃくちゃたちが悪いです。

理想は対象IPのアクセスをはじくという対応がいいのだが
世界各国からたたかれているのでもうどうしようもない。

とりあえず、緊急対策としてwp-login.phpを
特定のIPからしか読み込めないように修正します。

こんな感じにhttpd.confに設定を追加しました。

<Files "wp-login.php">
    order deny,allow
    deny from all
    allow from (見てもいいIPブロック)
</Files>

まだアタックが続く状態ですが、しっかり403を返しているので
ログインされる心配はないでしょう。

負荷についてはちょっとある状態ですが、サーバーが落ちるほどは
かからないんじゃないかと思っている。

---

最近右下にログインページのリンクを楽するために
作ったことが原因じゃないかと思ってみる。

やはりブックマークにしてリンクは表示しないのがいいのではないかと思ってみる。