cre*_*son 2 ubuntu nginx brute-force-attacks
我有一台服务器一直试图通过 xml-rpc 帖子在 wordpress 站点上进行暴力破解。我在 nginx.conf 中屏蔽了 ip 地址,并注意到我一直在日志文件中收到这些错误,而且由于它们是蛮力,这只是一个非常非常慢的 DDOS(因为它们导致日志文件占用空间)。
[错误] 30912#0:*4600 规则禁止访问,客户端:
我在这里搜索了日志文件更改,但看起来 403 错误是全有还是全无,这对我没有帮助(不会看到任何其他错误)。
为了解决这个问题,我尝试通过防火墙进行阻止(在防火墙表周围使用 UFW 包装器)并添加了一个条目,显示为状态:
任何地方拒绝 XXX.XXX.X.XXX(已编辑)
但是,即使在启用防火墙规则并检查以确保它们正在运行后,在拖尾日志文件时,我仍然一遍又一遍地写入相同的错误条目 403 错误。
关于如何在不填写日志文件的情况下让这个黑客消失的任何想法?这是一个虚拟的 14.04 LTS 服务器。
编辑:使用limit_req会对此有什么影响吗?编辑二:这是 UFW 状态,他强行向该站点发布 POST。他已成功阻止,但防火墙不应该首先阻止他访问 nginx 吗?
To Action From
-- ------ ----
22 ALLOW Anywhere
22/tcp ALLOW Anywhere
2222/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
21/tcp ALLOW Anywhere
Anywhere DENY XXX.XXX.X.XXX
22 (v6) ALLOW Anywhere (v6)
22/tcp (v6) ALLOW Anywhere (v6)
2222/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
21/tcp (v6) ALLOW Anywhere (v6)
将您的拒绝规则移至端口 80 的 ALLOW 规则之上 - 它们按顺序运行。
SSH 可能不应该对任何地方开放,但如果您有动态 IP,请注意不要将自己锁定。
考虑像CloudFlare这样的 CDN ,它通过免费和付费计划提供针对许多威胁、防火墙等的保护。
| 归档时间: |
|
| 查看次数: |
1094 次 |
| 最近记录: |