Guten Morgen,
ich habe seit dem vorletztem Wochenende ein mittelschweres Problem mit Angriffen auf mehrere meiner Seiten, die so dermaßen große Logfiles erzeugen, dass das gesamte Hosting irgendwann nachts gesperrt wird. Dummerweise beginnt es immer erst gegen 23-24 Uhr, sodass ich kaum reagieren bzw auch kaum agieren kann^^ Zurzeit ist das Hosting wieder gesperrt Wie dem auch sei.
Die Logfiles ergaben zunächst Angriffe auf xmlrpc, was ich bereits deaktiviert hatte.
[Thu May 06 22:31:19.952812 2021] [authz_core:error] [pid 16907] [client 103.3.1.63:47390] AH01630: client denied by server configuration: /var/www/vhosts/hosting123744.a2fd9.netcup.net/lotties-shop/wp-login.php [Thu May 06 22:31:20.935866 2021] [authz_core:error] [pid 6296] [client 103.3.1.63:47446] AH01630: client denied by server configuration: /var/www/vhosts/hosting123744.a2fd9.netcup.net/lotties-shop/xmlrpc.php [Thu May 06 22:49:01.410514 2021] [authz_core:error] [pid 9945] [client 51.91.15.26:46794] AH01630: client denied by server configuration: /var/www/vhosts/hosting123744.a2fd9.netcup.net/lotties-shop/xmlrpc.php
Passwörter sind alles geändert mit random von Keepass erzeugten PWs. Mit den Einträgen in den aktuellen Logs kann ich leider nicht soviel anfangen. Hier mal ein Auszug von letzter Woche....seither ist es ein und dasselbe bis auf die Zahlenfolgen. Kann jemand das auflösen? Evtl SQL Abfragen? Dieser spezielle Auszug kommt aus Richtung Nürnberg...meist aber - zumindest laut whois - aus Nordamerika
[Thu May 06 22:50:43.347797 2021] [fcgid:warn] [pid 10398] [client 2a01:4f8:211:188d::2:57392] mod_fcgid: stderr: b2ea423d5fc8b6\\";a:3:{i:54;i:1;i:100;i:1;i:117;i:1;}s:32:\\"d5b0678e31f06a2667cbd44b70532df5\\";a:3:{i:54;i:1;i:100;i:1;i:117;i:1;}s:32:\\"dff58a6602a361bb28770a72f3051431\\";a:7:{i:54;i:4;i:55;i:3;i:96;i:1;i:100;i:2;i:106;i:1;i:115;i:2;i:117;i:2;}s:32:\\"25cc591f97c2c795d8a8af42097983c1\\";a:3:{i:54;i:1;i:100;i:1;i:117;i:1;}
Ganz am Ende des logs:
WHERE `option_name` = '_transient_wc_layered_nav_counts_pa_memory' von require('wp-blog-header.php'), require_once('wp-includes/template-loader.php'), include('/plugins/woocommerce/templates/taxonomy-product-cat.php'), wc_get_template, include('/themes/rehub-theme/woocommerce/archive-product.php'), get_sidebar, locate_template, load_template, require_once('/themes/rehub-theme/sidebar-shop.php'), dynamic_sidebar, WP_Widget->display_callback, WC_Widget_Layered_Nav->widget, WC_Widget_Layered_Nav->layered_nav_list, WC_Widget_Layered_Nav->get_filtered_term_product_counts, set_transient, update_option
Blocken der IPs wird nicht allzuviel helfen. Löschen der logs per cronjob wäre nur ein kurzfristiger aber ansich unsinniger workaround. Gibt es ggf. Plesk Boardmittel, mit denen ich hier agieren kann? Service wie Cloudflare nutzen oder eigene WAF installieren? (wird ohne su vermutlich nicht funktionieren)
Danke vorab und viele Grüße aus dem Norden
Daniel