WordPressのxmlrpc.phpへの攻撃について

いつもよりもWordpressが遅くてどうしたんだろう…
と思い、サーバの通信を確認した。

# netstat -n
稼働中のインターネット接続 (w/oサーバ)
Proto 受信-Q 送信-Q 内部アドレス            外部アドレス            状態
tcp        0      0 XXX.XXX.XXX.XXX:15151  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15152  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15153  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15154  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15155  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15156  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15157  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15158  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:15159  192.184.11.60:80     ESTABLISHED
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61721     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61722     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61723     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61724     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61725     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61726     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61727     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61728     TIME_WAIT
tcp        0      0 XXX.XXX.XXX.XXX:80     142.0.44.50:61729     TIME_WAIT

なぜか同じIPアドレスが80ポートへ大量にアクセスしている。
それもどこかを経由しているような漢字がします。
80番ポートにアクセスしているのはわかるので、Webサーバのログを確認した。

142.0.44.50 - - [05/Oct/2014:07:35:16 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
142.0.44.50 - - [05/Oct/2014:07:35:23 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
142.0.44.50 - - [05/Oct/2014:07:35:35 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
142.0.44.50 - - [05/Oct/2014:07:35:46 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
142.0.44.50 - - [05/Oct/2014:07:35:57 +0900] "POST /xmlrpc.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

xmlrpc.phpにアクセスしていることが判った。インターネットで”Wordpress xmlrpc.php”を検索すると、DoSの踏み台やPingbackなどいろいろなことに利用されてしまうようです。

xmlrpc.phpをリネームしてとりあえず、再起動しました。
それからは遅くもなくなりました。
Wordpressを使用する場合は、注意が必要です。

百度「Baidu IME」「Simeji」の無断で外部送信について

企業内のPCにこの手のソフトが入っている場合、最悪な情報漏えいになります。
速やかに削除する事をおすすめします。

入力ソフトは、グーグルや日本のジャストシステムなども提供していますが、情報を外部に送るのは利用者が許可した場合だけで、具体的な内容は分からないようにしています。これについて百度の日本法人は、情報を送信し、一定期間保存していることを認めたうえで、「ネットを使って変換の候補を表示したり、変換の精度を向上させるために利用している。説明が不十分な点は、利用者が安心できるよう分かりやすく改善していきたい」と話しています。

調査に当たったセキュリティー会社、ネットエージェントの杉浦隆幸社長は、「入力情報とパソコンのIDを一緒に送信していることから、利用者のことを詳しく分析することができてしまう。企業の機密情報などが漏れるおそれもあり、利用する際には注意が必要だ」と話しています。

(NHKニュース「中国製の日本語入力ソフト 入力情報を無断送信 NHKニュース」より 2013/12/26 04:17)

「Baidu IME」サイト

http://ime.baidu.jp/type/

この内容については一言も触れていないことに違和感を覚えます。