[Wordpress] [NOC-announce] Probleme mit dem MySql-Server behoben

[Jogi Hofmüller - NOC]

Liebe_r Benutzer_in,

Mehr als eine Woche hat es uns gekostet, das Problem der dauernden
Ausfälle des MySql-Servers 1) zu erkennen und 2) eine Lösung zu finden.
 Wir können jetzt aber berichten, dass wir die Situation vorerst im
Griff haben.

Ursache
=======

Verursacht wurden die häufigen Ausfälle durch brute force Angriffe auf
die Wordpress-Instanzen die bei uns laufen.  Dabei haben irgendwelche
Bösen auf diesem Planeten versucht Zugang zu Euren Wordpress-Seiten zu
bekommen.  Die vorläufige Auswertung zeigte mehr als 1000 Login-Versuche
innerhalb einer Minute, und das führt zu Verbindungsproblemen zwischen
dem Webserver und dem Datenbankserver.

Gegenmaßnahme
=============

Wie gestern schon auf der Wordpress-Liste berichtet haben wir nun auf
den betroffenen Servern fail2ban [1] installiert.  Damit beschränken wir
den POST-Aufruf der Seite wp-login.php (also einen Loginversuch) auf 5
pro Minute.  Wenn von einer IP-Adresse 5 oder mehr Aufrufe kommen, wird
diese IP-Adresse für 24 Stunden blockiert.  Seit wir diese Gegenmaßnahme
in Betrieb haben (also seit gestern Mittag) hat es keine Ausfälle der
Datenbankverbindung mehr gegeben.

In manchen Fällen (wenn z.B. mehrere Menschen, die alle hinter derselben
Firewall sitzen gleichzeitig am selben Blog arbeiten) kann das zwar dazu
führen, das auch legitime Login-Versuche zu einer Blockierung einer
IP-Adresse führen, jedoch halten wir dieses Risiko für vertretbar.

Nebeneffekte
============

Im Zuge der Fehlersuche fanden wir einige Blogs, deren Moderator_innen
sich nicht (mehr) um die Bearbeitung der eintreffenden Kommentare
kümmerten.  Die Kommentare landen aber alle in der Datenbank und
verbrauchen unnötigerweise Speicherplatz.  Der Rekordwert an
unbearbeiteten Kommentaren lag bei 392.000
(Dreihundertzweiundneunzigtausend).

Wir empfehlen den Betreiber_innen von Blogs, die Kommentarfunktion nur
wenn wirklich nötig zu aktivieren.  Zusätzlich ist es sinnvoll, eines
der vielen Captcha-Plugins zu verwenden.  Die sind zwar kein 100%iger
Schutz vor automatisiertem Spam, aber einiges wird doch abgefangen.

Für ein kollegiales Miteinander auf unseren Servern ist es außerdem
wünschenswert, wenn Moderationsaufforderungen auch bearbeitet werden.

[1]  http://www.fail2ban.org/wiki/index.php/Main_Page

Besten Gruß + schönen Frühlingstag vom NOC,
-- 
\\ J.Hofmüller                           Phone: +43/316/821 451 55
 \\ mur.at Network Operation Center

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 213 bytes
Desc: OpenPGP digital signature
URL: <http://lists.mur.at/pipermail/wordpress/attachments/20150415/efbbe1be/attachment.sig>