我正在谷歌云平台上运行一个WordPress(4.5.2版本)博客(由Apache服务),它使用GCP的networking设置从互联网完全防火墙。 只有在同一个GCPnetworking(即面向互联网的代理,nginx版本1.10.0)的其他机器的连接在单个端口80上是允许的。前一段时间,我发现WordPress机器负载繁重, /xmlrpc.php,我认为这是一种常见的攻击,所以我用.htaccess来阻止访问它赢得一些时间。 现在,Apache的日志充斥着
<same external ip> - - [timestamp] "POST /xmlrpc.php HTTP/1.0" 403 <same answer length> 如预期。 奇怪的是,在提及xmlrpc.php的nginx日志中没有一条logging,在阻止它之前和之后,虽然有效的博客页面请求和其他logging正常logging。 我可以想到对这种情况的两种解释,但都难以置信:
也许有一些方法可以跟踪TCP数据包的来源(是我的负载平衡器还是外部地址)? 或者也许我太偏执,对这种情况有一个更简单的解释。
更新我已经通过完全禁用nginx上的代理来消除选项(1),所以最不可能的解释仍然是唯一的。 如果有人certificate我错了会很好。
更新2几个小时之后,攻击已经停止,因为它已经不能达到目的了(apache刚刚用403响应)。 我想如果再次发生这种情况,可能的解决scheme是使用tcpdump来转储通信,然后使用Wireshark分析它,找出至less最后一跳来源。 如果有一些更有经验的人分享一些知识如何做到这一点,或者指引我朝着正确的方向发展,那将是非常好的。