我有一个服务器,不断试图通过xml-rpc后在WordPress的网站蛮力的黑客入侵。 我已经阻止了nginx.conf中的IP地址,并注意到我一直在日志文件中得到这些错误,并且由于它们是蛮力的,这只是一个非常非常慢的DDOS(因为它们导致日志文件占用空间)。
[错误] 30912#0:* 4600规则,客户端禁止访问:
我在这里search日志文件的变化,但它看起来像403错误的全部或没有,这不会帮助我(不会看到任何其他人)。
为了解决这个问题,我尝试过使用防火墙进行阻塞(在防火墙表中使用UFW包装),并在状态栏中添加了一个条目:
任何地方DENY XXX.XXX.X.XXX(redacted)
但是,即使启用防火墙规则,并检查以确保它们正在运行,当拖尾日志文件我还是一样的错误条目403错误一遍又一遍地写。
有关如何使这个黑客离开而不填写日志文件的任何想法? 这是一个虚拟的14.04 LTS服务器。
编辑:将使用limit_req在这一点上有所作为? 编辑二:这里是UFW状态,他是强制POST的网站。 他被成功阻止了,但防火墙不应该阻止他首先到达nginx?
To Action From -- ------ ---- 22 ALLOW Anywhere 22/tcp ALLOW Anywhere 2222/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 21/tcp ALLOW Anywhere Anywhere DENY XXX.XXX.X.XXX 22 (v6) ALLOW Anywhere (v6) 22/tcp (v6) ALLOW Anywhere (v6) 2222/tcp (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) 21/tcp (v6) ALLOW Anywhere (v6)
把你的DENY规则移到80以上的允许规则之上 – 它们按顺序运行。
SSH可能不应该打开到任何地方,但要小心,如果你有一个dynamic的IPlocking自己。
考虑一个像CloudFlare这样的CDN,它提供免费和付费计划的保护,防止许多威胁,防火墙等。