Skip to content
Home » fail2ban » xmlrpc.php Saldırılarını Fail2Ban ile Engellemek

xmlrpc.php Saldırılarını Fail2Ban ile Engellemek

Merhabalar, bu makalemizde özellikle WordPress sitelerinin başına bela olan ve ping back ve track back servislerinin kullanımını sağlayan xmlrpc.php üzerinden yapılan DDOS saldırısının engellenmesi için yapılacak işlemlerden bahsedeceğim.

Aslında bu konu yeni bir konu değil ve paylaşmak istediğimde sadece .htaccess dosyanıza aşağıdakilerini yazın

# Begin Protect xmlrpc
<IfModule mod_alias.c>
    RedirectMatch 403 /xmlrpc.php
</IfModule>
# Ende Protect xmlrpc.php

sorununuz düzelir demek değil.

Bu makalede yapmak istediğimiz bu servisi kapatmadan Fail2Ban kullanarak bu istekleri yapanları IP adreslerini IP Tables’ıda kullanarak banlamak.

Aslında burda anlatacağım işlemlerden biriside Fail2Ban’ı loglarda gördüğümüz her bir sorun için aksiyon alabilen bir ürüne dönüştürmek ki temelde zaten bunu destelemektedir Fail2Ban.

Konumuza tekrar döner isek ilk işlem adımı olarak bir tane Filter kuralı yaalım Fail2Ban için.

Bunun için wp-xmlrpc.conf isminde bir filtre kuralı oluşturacağım ve kural içerisine şunları yazacağım.
nano /etc/fail2ban/filter.d/wp-xmlrpc.conf

[Definition]
failregex = ^ .*POST .*xmlrpc\.php.*$
ignoreregex = “Googlebot/2.1 (+http://www.google.com/bot.html)”

Daha sonra dosyayı kaydedip çıkıyorum.

Ardından bu filtre kuralını fail2ban ın kullanması için jail.conf dosyamıza ekliyelim.

nano /etc/fail2ban/jail.conf

[wp-xmlrpc]
enabled = true
port = http,https
filter = wp-xmlrpc
logpath = /var/log/ispconfig/httpd/*/access.log
banaction = iptables-allports
maxretry = 10

Kaydedip çıktıktan sonra /etc/init.d/fail2ban restart komutu ile failtoban servisimizi yeniden başlatalım.

Eğer bir WP host eden sunucunuz var ise bu işlemleri bu şekilde halletmeniz daha verimli olacaktır. Diğer türlü her sitenin .htaccess dosyasına kural yazmak zahmetli iştir.

Not : logpath kısmını kendinize göre düzeltiniz yanlış bir path verirseniz kural çalışmayacaktır.

İyi çalışmalar.