У меня есть сервер, который продолжает попытки взлома методом грубой силы через сообщение xml-rpc на сайте wordpress. Я заблокировал IP-адрес в nginx.conf и заметил, что я продолжал получать эти ошибки в файле журнала, и поскольку они являются грубой силой, это просто очень, очень медленный DDOS (потому что они заставляют файлы журнала занимать место ).
[ошибка] 30912 # 0: * 4600 доступ запрещен правилом, клиент:
Я искал здесь изменения файла журнала, но похоже, что все или ничего на 403 ошибках, и это мне не помогло (не увидел бы других).
Чтобы бороться с этим, я попытался заблокировать брандмауэр (используя оболочку UFW вокруг таблиц брандмауэра) и добавил запись, которая отображается как это в статусе:
Anywhere DENY XXX.XXX.X.XXX (отредактировано)
Однако даже после включения правил брандмауэра и проверки их работы при отслеживании файла журнала я все еще повторяю те же записи об ошибках 403, которые записываются снова и снова.
Есть мысли о том, как заставить этого хакера уйти, не заполнив файл журнала? Это виртуальный сервер 14.04 LTS.
Изменить: будет использовать limit_req
это вообще имеет значение? Изменить два: вот статус UFW, он грубо отправляет POST на сайт. Он успешно заблокирован, но не должен ли брандмауэр вообще помешать ему попасть на nginx?
To Action From
-- ------ ----
22 ALLOW Anywhere
22/tcp ALLOW Anywhere
2222/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
21/tcp ALLOW Anywhere
Anywhere DENY XXX.XXX.X.XXX
22 (v6) ALLOW Anywhere (v6)
22/tcp (v6) ALLOW Anywhere (v6)
2222/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
21/tcp (v6) ALLOW Anywhere (v6)
Переместите правило DENY выше вашего правила ALLOW для порта 80 - они работают по порядку.
SSH, вероятно, не должен быть открыт где-либо, но будьте осторожны, чтобы не заблокировать себя, если у вас динамический IP.
Рассмотрим CDN как CloudFlare, который предлагает защиту от многих угроз, брандмауэр и т. д. с бесплатными и платными планами.