Tag: WordPress

前几天刚吐槽阿里云盾，今天一大早就到收到了阿里云盾的 “高危漏洞通知”。

于是登录阿里云看了一下，果然有一条漏洞提示，而且提供了两种解决方案：

1. 【一键修复】(漏洞补丁)，收费服务，需要购买云盾·安骑士，100 RMB 起。

2. 【自己动手修】。

对于我这种动手能力强（穷）的人来说，当然选择第二种解决方案了。

于是网上搜索了一下，找到了下面一种临时解决方案：

打开 wp-includes/media.php , 定位到 2898 行， 或者查找 wp_image_editors。

# vi wp-includes/media.php

2898G or /wp_image_editors

我们看到，WordPress优先选择 WP_Image_Editor_Imagick 来处理图片。

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

现在我们把顺序对调一下。

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );

再去阿里云后台验证一下，在服务器安全（安骑士）的补丁管理选项下面点击重新验证，就能看到已经修复了。

改完之后才发现，我根本没装 ImageMagick，所以根本不存在漏洞啊！！！

参考：

安全预警：ImageMagick图象处理软件存在远程代码执行(CVE-2016-3714)

http://www.freebuf.com/vuls/103504.html

 962 total views

最近只要打开博客，就能看到 nginx 502 错误提示。于是尝试着寻找原因：

1. 既然能看到 nginx 502 的错误提示，说明 nginx 还是正常的工作的。

我们来验证一下，查看 nginx 的状态。

# service nginx status

nginx 报告它正在正常工作中。

* nginx is running

抱着怀疑的精神，我们来重启一下 nginx。

# service nginx restart

再打开博客看一下，还是熟悉的 502 页面，nginx 果然是无辜的。

2. 既然 nginx 没有问题，那么我们再来检查一下 php5-fpm 的状态。

# service php5-fpm status

php5-fpm 报告它也在正常工作中。

php5-fpm start/running, process 2424

继续抱着怀疑的精神，我们来重启一下 php5-fpm。

# service php5-fpm restart

再打开博客一看，好了！看来果然是 php5-fpm 出问题了。

3. OK，现在我们已经知道是 php5-fpm 的问题了，那么问题底出在哪里呢？

于是我仔细的检查了一遍 ph5-fpm 的配置文件，然而并没有发现任何问题。

# cat /etc/php5/fpm/php-fpm.conf

然后又看了一下 php5-fpm 的日志文件,还是没有发现任何问题。

# tail -100 /var/log/php5-fpm.log

再次抱着怀疑的精神，我们来查一下 nginx 的日志文件。

# cat /var/log/nginx/access.log | grep 502

不看不知道，一看吓一跳。居然有几个 IP 在一直不停的访问 xmlrpc.php。

185.103.252.170 - - [04/May/2016:12:35:19 +0800] "POST /xmlrpc.php HTTP/1.0" 502 583 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

在网上搜索一下，发现原来是有人在尝试暴力破解，直接删除了 xmlrpc.php 文件，让他感受无尽的 404 去吧。

参考：

XML-RPC放大攻击：针对WordPress的“暴力美学”

http://www.freebuf.com/vuls/81331.html

最后吐槽一下阿里云的云盾，根本没有检测出针对 xmlrpc.php 的攻击。

而且即使是已经检测到的攻击，我也从来没有收到过任何告警邮件或者短信。

 653 total views