Excessive XMLRPC Requests

[thessalonik]

Καλημερα,

 

ρε παιδια τι ειναι αυτες οι επιθεσεις που βλεπω στον VPS server μου sto arxeio "xmlrpc.php" ?

 

 

Hi,

Your server is being attacked with an excessive amount of requests to "xmlrpc.php", which is a commonly exploited file related to scripts which are out of date:

95.96.232.100 - - [05/Aug/2014:15:50:41 +0300] "POST /xmlrpc.php HTTP/1.1" 500 313
77.127.137.245 - - [05/Aug/2014:15:50:41 +0300] "POST /xmlrpc.php HTTP/1.1" 500 313
78.157.14.3 - - [05/Aug/2014:15:50:41 +0300] "POST /xmlrpc.php HTTP/1.1" 500 313
79.180.104.204 - - [05/Aug/2014:15:50:41 +0300] "POST /xmlrpc.php HTTP/1.1" 500 313
46.139.85.215 - - [05/Aug/2014:15:50:42 +0300] "POST /xmlrpc.php HTTP/1.1" 500 313
41.236.183.161 - - [05/Aug/2014:15:50:42 +0300] "POST /xmlrpc.php HTTP/1.1" 500 313
130.185.74.105 - - [05/Aug/2014:15:50:42 +0300] "POST /xmlrpc.php HTTP/1.1" 500 313
46.139.85.215 - - [05/Aug/2014:15:50:42 +0300] "POST /xmlrpc.php HTTP/1.1" 500 313

This is likely because there are numerous incredibly out of date WordPress installations which are hosted by the server:

/home/costas/public_html/seafight/wp-includes/version.php:$wp_version = '3.8.3';

/home/costas/public_html/wp-includes/version.php:$wp_version = '3.7.3';

/home/kastoria/public_html/wp-includes/version.php:$wp_version = '3.6.1';

/home/tsotyli/public_html/wp-includes/version.php:$wp_version = '3.8.3';

/home/ypsiland/public_html/wp-includes/version.php:$wp_version = '3.6';

If I were to take a guess, it seems that the accounts hosting "kastorianorama.gr" and "varsa.gr" (users "kastoria" and "akis" respectively) are most targeted:

[Tue Aug 05 16:19:05 2014] [error] [client 94.254.4.244] ModSecurity: Access denied with code 406 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/conf/mod_sec/mod_sec.hg.conf"] [line "89"] [id "900161"] [msg "XMLRPC Request with no UA/Ref"] [hostname "kastorianorama.gr"] [uri "/xmlrpc.php"] [unique_id "U@DZya6ID2YAAGAt6CkAAAAB"]

[Tue Aug 05 16:19:05 2014] [error] [client 68.104.103.192] ModSecurity: Access denied with code 406 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/conf/mod_sec/mod_sec.hg.conf"] [line "89"] [id "900161"] [msg "XMLRPC Request with no UA/Ref"] [hostname "kastorianorama.gr"] [uri "/xmlrpc.php"] [unique_id "U@DZya6ID2YAAAUsv1cAAAAG"]

[Tue Aug 05 16:19:05 2014] [error] [client 202.131.115.66] ModSecurity: Access denied with code 406 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/conf/mod_sec/mod_sec.hg.conf"] [line "89"] [id "900161"] [msg "XMLRPC Request with no UA/Ref"] [hostname "varsa.gr"] [uri "/xmlrpc.php"] [unique_id "U@DZya6ID2YAAASfhygAAAAA"]

[Tue Aug 05 16:19:05 2014] [error] [client 109.65.21.242] ModSecurity: Access denied with code 406 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/conf/mod_sec/mod_sec.hg.conf"] [line "89"] [id "900161"] [msg "XMLRPC Request with no UA/Ref"] [hostname "kastorianorama.gr"] [uri "/xmlrpc.php"] [unique_id "U@DZya6ID2YAAATlo0gAAAAE"]

[Tue Aug 05 16:19:06 2014] [error] [client 178.148.253.122] ModSecurity: Access denied with code 406 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/conf/mod_sec/mod_sec.hg.conf"] [line "89"] [id "900161"] [msg "XMLRPC Request with no UA/Ref"] [hostname "kastorianorama.gr"] [uri "/xmlrpc.php"] [unique_id "U@DZyq6ID2YAAGAt6CoAAAAB"]

[Tue Aug 05 16:19:07 2014] [error] [client 182.186.242.111] ModSecurity: Access denied with code 406 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/conf/mod_sec/mod_sec.hg.conf"] [line "89"] [id "900161"] [msg "XMLRPC Request with no UA/Ref"] [hostname "varsa.gr"] [uri "/xmlrpc.php"] [unique_id "U@DZy66ID2YAAATKlsgAAAAC"]

[Tue Aug 05 16:19:07 2014] [error] [client 176.202.24.163] ModSecurity: Access denied with code 406 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/conf/mod_sec/mod_sec.hg.conf"] [line "89"] [id "900161"] [msg "XMLRPC Request with no UA/Ref"] [hostname "kastorianorama.gr"] [uri "/xmlrpc.php"] [unique_id "U@DZy66ID2YAAATlo0kAAAAE"]

[Tue Aug 05 16:19:10 2014] [error] [client 182.48.191.233] ModSecurity: Access denied with code 406 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/conf/mod_sec/mod_sec.hg.conf"] [line "89"] [id "900161"] [msg "XMLRPC Request with no UA/Ref"] [hostname "varsa.gr"] [uri "/xmlrpc.php"] [unique_id "U@DZzq6ID2YAAGAt6CsAAAAB"]

[Tue Aug 05 16:19:12 2014] [error] [client 202.131.115.66] ModSecurity: Access denied with code 406 (phase 1). Operator EQ matched 0 at REQUEST_HEADERS. [file "/usr/local/apache/conf/mod_sec/mod_sec.hg.conf"] [line "89"] [id "900161"] [msg "XMLRPC Request with no UA/Ref"] [hostname "kastorianorama.gr"] [uri "/xmlrpc.php"] [unique_id "U@DZ0K6ID2YAAATlo0oAAAAE"]

 

Eχει επηρεασει ολες τις σελιδες μου και ακομα και μετα απο 1 restart γεμιζει φουλαρει την μημη se notime.

 

Τα φωτα σας παρακαλω.

[mad-proffessor]

Καποιο bot/automated script ειναι. Πρεπει να ενεργοποιησεις τους brute force attack και dos rules στο modsecurity

[mphxths]

μην ξεχνας και αυτο που λεει
 
This is likely because there are numerous incredibly out of date WordPress installations which are hosted by the server:

/home/costas/public_html/seafight/wp-includes/version.php:$wp_version = '3.8.3';

/home/costas/public_html/wp-includes/version.php:$wp_version = '3.7.3';

/home/kastoria/public_html/wp-includes/version.php:$wp_version = '3.6.1';

/home/tsotyli/public_html/wp-includes/version.php:$wp_version = '3.8.3';

/home/ypsiland/public_html/wp-includes/version.php:$wp_version = '3.6';
 
 
εχει φτασει στην εκδοση 3.9.2 ... κανε κανα update

[thessalonik]

ναι χτες τα εκανα ολα t update οσονα φορα και wordpresses kai plugins

 

Aυτα ομως τα συνεχομενα κοκοβουλα requestes συνεχιζοτανι.

 

μπορω να λαβω καποιο αλλο μεσο προστασιας?

[coffeex]

Ναι δες Site: εδώ

[thessalonik]

Σε ευχαριστω πολυ εκλεισα την προσβασησ ε αυτο τοα ρχειο, xmlrpc.php

 

Δεν θα κοπει καποια λειτουργια του wordpress ετσι δεν ειναι?

[coffeex]

 

Δεν θα κοπει καποια λειτουργια του wordpress ετσι δεν ειναι?

Όχι όλα θα παίζουν κανονικά.