Я управляю небольшим сервером виртуального хостинга. Сегодня я получил жалобу от своего хостинг-провайдера на то, что мой сервер отправляет запросы на страницы wp-login.php других веб-сайтов в другом месте. Я реализовал правило брандмауэра
/sbin/iptables -I OUTPUT -p tcp --dport 80 -m string --string "wp-login.php" --algo kmp -j REJECT --reject-with tcp-reset
Я тестировал и вижу со своего сервера, что не могу отправить запрос http://testsite.com/wp-login.php. Это здорово, и все работает, как ожидалось.
Тем не менее, я все же получил дополнительную жалобу на эту проблему, поэтому я предполагаю, что плохой пользователь использует HTTPS для атаки wp-login.php целевых веб-сайтов. Я реализовал следующее правило, но оно не работает
/sbin/iptables -I OUTPUT -p tcp --dport 443 -m string --string "wp-login.php" --algo kmp -j REJECT --reject-with tcp-reset
Я понимаю, потому что URL-адрес HTTPS зашифрован, поэтому этот метод не работает.
Я хотел бы спросить, как мне решить эту проблему, чтобы предотвратить / заблокировать / определить виновника?
Заранее спасибо!
Drop OUTPUT для веб-пользователей
iptables -A OUTPUT -m owner --gid-owner web-users -j DROP
Установите прозрачный локальный прокси. Заблокируйте там движение.