... tail -f -n 100 /app/asr_cabinet/var/log/httpd/access_log {code} Если видим строчки вида, которые повторяются непрерывно: {code} <ip> - - [05/Feb/2016:16:41:27 +0300] "POST /xmlrpc.php HTTP/1.0" 500 310 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" <ip> - - [05/Feb/2016:16:41:27 +0300] "POST /xmlrpc.php HTTP/1.0" 500 310 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" <ip> - - [05/Feb/2016:16:41:27 +0300] "POST /xmlrpc.php HTTP/1.0" 500 310 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" {code} То имеет место быть атака на wordpress. Пути решения два: Воспользоваться решением в [статье|https://habrahabr.ru/post/232129/], в которой описано как закрыть уязвимость. Либо зафильтровать обращения средствами файрвола (лучше сразу все обращения к серверу с атакуемых ипов зафильтровать, потому как если сетевая атака, то на wordpress она может и не остановится): {code} iptables -I asr_cabinet_input -s <ip/net> -j DROP conntrack -F {code} Не забываем добавить правило в [хук|http://docs.carbonsoft.ru/pages/viewpage.action?pageId=50660094] /app/asr_cabinet/cfg/hooks {code} #!/bin/bash if [ "$1" = '/etc/init.d/firewall' -a "$2" = 'start' ]; then iptables -I asr_cabinet_input -s <ip/net> -j DROP fi exit 0 {code}
|