件名に実際のパスワードが入ったメールが送られてきた

件名に自分が使っているパスワードが入っており、本文にもパスワードが入ったメールが送られてきました。2018年9月5日から毎日3~5件程度届いています。

このパスワードは、適当に作るアカウントで使っているパスワードのため、どこかのサイトで流出したと言う事でしょう。何かのサイト登録時に平文で保存されており、そのメールアドレスとパスワードが流出したと言う事だと思います。

このメールでは5,000米ドルをビットコインで払えという内容ですが、メールによって金額が異なり、1,000米ドル~7,000米ドルとなります。

米ドル 件数
1,000米ドル 18
2,000米ドル 14
3,000米ドル 13
4,000米ドル 11
5,000米ドル 14
6,000米ドル 13
7,000米ドル 13

このメールが届いている場合、そのパスワードを使っているサイトのパスワードを変更した方が良いでしょう。それ以外は、流出したメールアドレス・パスワードセットで送っているだけだと思いますので、削除で問題ありません。

不正アクセスで利用するよりも、実際のパスワードをメールに記載し、ビットコインを送金させると言う方が効率が良いのかもしれません。

WordPressのxmlrpc.phpを停止する 高負荷状態を回避

WordPressを使っているサイトのログに

[error] server reached MaxClients setting, consider raising the MaxClients setting

と表示が現れ、高負荷状態でサーバがダウン。エラーメッセージで検索すると、MaxClientsの値を上げれば良いと書かれていますが、負荷が高いのであればMaxClientsの値を上げても意味がありません。

色々ログを調べてみると、WordPressのxmlrpc.phpに対する攻撃が原因のようでした。

xmlrpc.phpはリモートで投稿する時に使う機能ですが、使う事がないため、全てのサイトでxmlrpc.phpを無効にしました。

ちなみに、xmlrpc.phpを削除してもアップデートの時に復活するようですので、.htaccessやNginxで無効に設定します。

■Apacheの場合

<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>

■Nginxの場合

location ~* /xmlrpc.php {
deny all;
}

これで、今回の高負荷状態は避けられました。