服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何在Ubuntu服务器上使用UFW阻止对WordPress的攻击?
Intereting Posts
Mysql InnoDB优化 login脚本 – >如果映射的驱动器的unc =这个然后断开和重新映射,否则什么都不做 将RAID 5磁盘从一台服务器转移到另一台服务器是否安全? opensslvalidation没问题的OpenVPN失败 如何禁用Cisco IOS中的ICMPredirect数据包? UFW(防火墙)不会立即阻止UDP 如何强制降级在Ubuntu(Karmic)的软件包? 将当前的pipe理员用户添加到SQL Server Express 2008 nginx 500错误,而不是404 用Zenoss监控局域网 不同国家的不同名称服务器。 加快DNS查询时间 确保cronjob正在工作! Exchange 2010损坏的数据库和初始化失败 crontab一天中的一天不工作 在NGINX上使用共享设置多个SSL?

如何在Ubuntu服务器上使用UFW阻止对WordPress的攻击?

在Ubuntu的14号盒子上,我看起来像在Wordpress页面上的攻击奇怪的活动。 Apache日志显示了很多这样的: 

191.96.249.54 - - [25/May/2016:00:46:57 +0200] "POST /xmlrpc.php HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 191.96.249.53 - - [25/May/2016:00:46:58 +0200] "POST /xmlrpc.php HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 191.96.249.54 - - [25/May/2016:00:46:59 +0200] "POST /xmlrpc.php HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)" 191.96.249.53 - - [25/May/2016:00:47:00 +0200] "POST /xmlrpc.php HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

它看起来完全像这里描述的情况: http : //blog.carlesmateo.com/2014/08/30/stopping-and-investigating-a-wordpress-xmlrpc-php-attack/

我脑子里的第一件事就是用iptables来阻止那些人,所以我把: 

 iptables -A INPUT -s 191.96.249.54 -j DROP iptables -A INPUT -s 191.96.249.53 -j DROP

但是它一直在继续。

因为我使用UFW我添加了UFW规则: 

 ufw deny from 191.96.249.54 to any ufw deny from 191.96.249.53 to any

但没有什么改善。 然后我禁用UFW并停止!

Mu UFW规则是(ufw状态): 

 Status: active To Action From -- ------ ---- 80 ALLOW Anywhere 443 ALLOW Anywhere 143 ALLOW Anywhere 993 ALLOW Anywhere 25/tcp ALLOW Anywhere 465/tcp ALLOW Anywhere Anywhere DENY 191.96.249.54 Anywhere DENY 191.96.249.53 80 (v6) ALLOW Anywhere (v6) 443 (v6) ALLOW Anywhere (v6) 143 (v6) ALLOW Anywhere (v6) 993 (v6) ALLOW Anywhere (v6) 25/tcp (v6) ALLOW Anywhere (v6) 465/tcp (v6) ALLOW Anywhere (v6)

然后我意识到,第一个规则是允许HTTP …所以我删除它,并再次添加,所以现在它在链的末尾。 它帮助。 显然我应该像这样插入阻止规则: 

 ufw insert [position] [theRule]

我对吗? 很显然,它的工作,但这是很好的做法,或者我应该这样做吗?

我build议学习ipset

和UFW的情况类似, iptables -A在netfilter链的末尾附加一个新的规则。 这意味着,如果在添加的规则之前有匹配的规则,则不会触发规则。

所以,就你而言,你应该已经进入了 

 iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP

默认情况下,该规则将插入链中的第一个位置。

使用命令iptables-save检查完整的链。

现在,每次发生攻击时都要更改iptables规则链,这将是一个非常棘手的问题,尤其是在您使用“DROP”之后。 另外必须删除规则。

所以,使用ipset 。 这里有一个很好的指导,其中有很好的例子和对性能影响的分析:

http://daemonkeeper.net/781/mass-blocking-ip-addresses-with-ipset/

关键是要input这两个命令: 

 ipset create blacklist hash:ip hashsize 4096 iptables -I INPUT -m set --match-set blacklist src -p TCP \ --destination-port 80 -j DROP

现在您只需将可疑IP地址添加到设置的blacklist ,而不必再次与规则处理顺序相冲突。