最近只要打开博客,就能看到 nginx 502 错误提示。于是尝试着寻找原因:
1. 既然能看到 nginx 502 的错误提示,说明 nginx 还是正常的工作的。
我们来验证一下,查看 nginx 的状态。
# service nginx status
nginx 报告它正在正常工作中。
* nginx is running
抱着怀疑的精神,我们来重启一下 nginx。
# service nginx restart
再打开博客看一下,还是熟悉的 502 页面,nginx 果然是无辜的。
2. 既然 nginx 没有问题,那么我们再来检查一下 php5-fpm 的状态。
# service php5-fpm status
php5-fpm 报告它也在正常工作中。
php5-fpm start/running, process 2424
继续抱着怀疑的精神,我们来重启一下 php5-fpm。
# service php5-fpm restart
再打开博客一看,好了!看来果然是 php5-fpm 出问题了。
3. OK,现在我们已经知道是 php5-fpm 的问题了,那么问题底出在哪里呢?
于是我仔细的检查了一遍 ph5-fpm 的配置文件,然而并没有发现任何问题。
# cat /etc/php5/fpm/php-fpm.conf
然后又看了一下 php5-fpm 的日志文件,还是没有发现任何问题。
# tail -100 /var/log/php5-fpm.log
再次抱着怀疑的精神,我们来查一下 nginx 的日志文件。
# cat /var/log/nginx/access.log | grep 502
不看不知道,一看吓一跳。居然有几个 IP 在一直不停的访问 xmlrpc.php。
185.103.252.170 - - [04/May/2016:12:35:19 +0800] "POST /xmlrpc.php HTTP/1.0" 502 583 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
在网上搜索一下,发现原来是有人在尝试暴力破解,直接删除了 xmlrpc.php 文件,让他感受无尽的 404 去吧。
参考:
XML-RPC放大攻击:针对WordPress的“暴力美学”
http://www.freebuf.com/vuls/81331.html
最后吐槽一下阿里云的云盾,根本没有检测出针对 xmlrpc.php 的攻击。
而且即使是已经检测到的攻击,我也从来没有收到过任何告警邮件或者短信。
736 total views, 1 views today