by TIMO
수억 대의 중국 가정집 PC와 수천만 대일지도 모를 상용 서버 중 일부가 워드프레스 XMLRPC 공격 즉, DoS(Denial Of Service) 거점으로. “왜 그러는데?”라고 물으면, “그 잡것들이 너무 심심해서?”라고 답할 수밖에.
일단 타겟이 되면,
쏟아지는 접속 요청 → (평소에는 불요한) 여러 개 PHP-FRM 가동 → 각각의 CPU 점유율 증가 → CPU Average Load가 100%까지 치솟으면서… 말 그대로 서버가 파르르~ 떨며 정신을 못 차린다.
서버가 넘어가는 게 아니라 극단의 과부하 상태가 되는 것. 외적 요인에 의한 것이므로 단계별 서버 시스템 Reset은 무효하다.
해결 방법은,
■ 구성 파일 직접 수정
1) PHP 시스템 파일 수정
‘www.inf’ 파일 또는 (꾸러미로 설치한 경우 여하한 이름의) ***.inf 파일을 찾고, 다음을 추가한다. Enable을 False로 지정함은 곧, “절대 동작하지 말아라”.
add_filter( ‘xmlrpc_enabled’, ‘__return_false’ );
2) Apache 시스템 파일 수정
‘쩜 + htaccess’ 파일을 찾고 다음을 추가. “무조건 거부한다”는, DoS 공격 루트로 활용되는 워드프레스 고유 <원격 저작 통로>를 아예 폐쇄하겠다는 뜻이다.
<files xmlrpc.php>
Order allow,deny
Deny from all
</files>
■ 플러그-인 설치
“disable XML RPC”로 검색하고, 설치 사례 내지 호환성 여부 등을 잘 검토하여 설치.
속내 모를 프로그램 덩어리가 깔리는 것을 좋아하지 않기에 1항으로 조치.
결과는? 글로벌 민폐가 사라졌다.
참고로, 필수 아이템인 워드펜스(Wordfence)는 XMLRPC 통로 제어에 관여하지 않겠다는 입장. 그들의 공식 블로그에 그렇게 적혀 있음.