Wordpressを標的としたとみられる攻撃が急増中。
送信元IPは広く、IPv4だけでなくv6でも届いている。
今回の動作としては、まずxmlrpc.phpに1回、wp-login.phpに2回アクセスする挙動が特徴的で、UAとしては“Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1”で共通である。
Firefoxのバージョンが最新から1年ほど古い物である事から、このUAを使用したアクセスについてxmlrpc.phpに処理を挿入して、有害IPとしてFWに登録する事として対応した。
→の攻撃元ランキングパーツに有害IPとして識別したアクセス数をランキング表示してみている。
(211)