今日は19:30頃には会社をでて(僕の会社は10時出社の19時定時)、
早めに家についたので颯爽とお弁当日記を書こうと思ったらまさかの502エラーがでてしまいました。
とにかくページが開けない!そしてくっそ思い
いざ更新しようと思ったらそんな状況なので焦りました。
当然管理画面も開けない。。。またかと・・・
wordpressで502 Bad gatewayがでてダッシュボードにログインできなくなった時の備忘録(新しいタブで開きます)
前にも同じようなことがありました。。。
前回は色々と設定変更して解決をみたのですがまた発生したということはあまり意味なかった疑惑は否めません。笑
とりあえずログを確認したところ・・・
同じようにログを確認しようと考えました。
前回はエラーログを確認したのですが、
1 |
ll /var/log/nginx |
を叩いたらアクセスログが目に入ったので一旦そいつを見てみる。
すると。
1 2 3 4 5 6 7 8 |
185.130.5.209 - - [19/Jan/2016:21:23:41 +0900] "POST /xmlrpc.php HTTP/1.0" 502 3738 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" "-" 185.130.5.209 - - [19/Jan/2016:21:23:41 +0900] "POST /xmlrpc.php HTTP/1.0" 502 3738 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" "-" 185.130.5.209 - - [19/Jan/2016:21:23:41 +0900] "POST /xmlrpc.php HTTP/1.0" 502 3738 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" "-" 185.130.5.209 - - [19/Jan/2016:21:23:42 +0900] "POST /xmlrpc.php HTTP/1.0" 502 3738 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" "-" 185.130.5.209 - - [19/Jan/2016:21:23:42 +0900] "POST /xmlrpc.php HTTP/1.0" 502 3738 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" "-" 185.130.5.209 - - [19/Jan/2016:21:23:42 +0900] "POST /xmlrpc.php HTTP/1.0" 502 3738 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" "-" 185.130.5.209 - - [19/Jan/2016:21:23:42 +0900] "POST /xmlrpc.php HTTP/1.0" 502 3738 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" "-" 以下略 |
すげー攻撃(アクセス)されてる!!
185.130.5.209こいつが犯人です。間違いないです。すごい勢いでアクセスしてました。 一発です。一発ツモです。
こいつ(185.130.5.209)からのアクセスは拒否しよう。
aclではじくか、このブログはAWSで運用しているのでと色々考えたのですが、
aclだと結局nginxまで届いてしまうし、(そもそもnginxにacl的なものがあるのか知りませんが)
AWSのEC2のコンソール画面は久しくみていないのでiptablesで遮断することにしました。
というわけでiptablesに設定する
といってもそんな大したことするわけでもなく。
1 |
iptables -I INPUT -s 185.130.5.209 -j DROP |
を叩いてあげて、
1 |
/etc/rc.d/init.d/iptables save |
で保存して、
1 |
/etc/rc.d/init.d/iptables restart |
で反映です。 (rootじゃないとできないかも)
※もちろん直接sysconfig配下のファイルをいじってあげればrestartだけでいけますが、
初めての設定の場合おそらくファイルがないのでこの方法でやりました。
リスタート後は、
/etc/sysconfig/iptables
のファイルが出来上がったので以降はこいつに書いていこうと思います。
一応nginxも再起動してあげます
psでみるとプロセスがやたら残っててほっとけば消えるかも知れませんがnginxを再起動させて無事復旧。
185.130.5.209はなんだったのか
あまり興味はなかったのですが一応調べてみたら、ヨーロッパ、中東、中央アジアおよびアフリカあたりのIPのようです。
そんな感じです。
補足
nginxとphp-fpmとの構成だと結構502エラーはでるそうです。
明日あたりちょい調べてみようかしら。
今日の一言
っていうかここに備忘録を残してもいざというときに見れないんだから意味無いじゃんというツッコミは
先ほど自分でしたので大丈夫(?)です。笑
誰かが同じ事象にあった時にこのブログが生きてればタメになることを信じてるのさ・・・