Назад | Перейти на главную страницу

Ubuntu Nginx после блокировки IP-адреса все еще отображается в журналах

У меня есть сервер, который продолжает попытки взлома методом грубой силы через сообщение xml-rpc на сайте wordpress. Я заблокировал IP-адрес в nginx.conf и заметил, что я продолжал получать эти ошибки в файле журнала, и поскольку они являются грубой силой, это просто очень, очень медленный DDOS (потому что они заставляют файлы журнала занимать место ).

[ошибка] 30912 # 0: * 4600 доступ запрещен правилом, клиент:

Я искал здесь изменения файла журнала, но похоже, что все или ничего на 403 ошибках, и это мне не помогло (не увидел бы других).

Чтобы бороться с этим, я попытался заблокировать брандмауэр (используя оболочку UFW вокруг таблиц брандмауэра) и добавил запись, которая отображается как это в статусе:

Anywhere DENY XXX.XXX.X.XXX (отредактировано)

Однако даже после включения правил брандмауэра и проверки их работы при отслеживании файла журнала я все еще повторяю те же записи об ошибках 403, которые записываются снова и снова.

Есть мысли о том, как заставить этого хакера уйти, не заполнив файл журнала? Это виртуальный сервер 14.04 LTS.

Изменить: будет использовать limit_req это вообще имеет значение? Изменить два: вот статус UFW, он грубо отправляет POST на сайт. Он успешно заблокирован, но не должен ли брандмауэр вообще помешать ему попасть на nginx?

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22/tcp                     ALLOW       Anywhere
2222/tcp                   ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
21/tcp                     ALLOW       Anywhere
Anywhere                   DENY        XXX.XXX.X.XXX
22 (v6)                    ALLOW       Anywhere (v6)
22/tcp (v6)                ALLOW       Anywhere (v6)
2222/tcp (v6)              ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
21/tcp (v6)                ALLOW       Anywhere (v6)

Переместите правило DENY выше вашего правила ALLOW для порта 80 - они работают по порядку.

SSH, вероятно, не должен быть открыт где-либо, но будьте осторожны, чтобы не заблокировать себя, если у вас динамический IP.

Рассмотрим CDN как CloudFlare, который предлагает защиту от многих угроз, брандмауэр и т. д. с бесплатными и платными планами.