Ubuntu Nginx depois de bloquear o endereço IP, ainda aparecendo em logs

2

Eu tenho um servidor que continua tentando invadir a força bruta via post xml-rpc em um site wordpress. Eu bloqueei o endereço IP em nginx.conf e notei que continuei recebendo esses erros no arquivo de log, e como eles são de força bruta, isso é apenas um DDOS muito, muito lento (porque eles estão fazendo com que os arquivos de log ocupem espaço ).

[error] 30912#0: *4600 access forbidden by rule, client:

Eu procurei aqui por alterações no arquivo de log, mas parece que é tudo ou nada em erros 403 e isso não me ajudaria (não veria nenhum outro).

Para combater isso, eu tentei bloquear por firewall (usando o wrapper UFW ao redor das tabelas de firewall) e adicionei uma entrada que mostra isso no status:

Anywhere DENY XXX.XXX.X.XXX (redacted)

No entanto, mesmo depois de habilitar as regras de firewall, e verificar se eles estão em execução, ao seguir o arquivo de log eu ainda as mesmas entradas de erro 403 erros gravando repetidamente.

Alguma idéia de como fazer esse hacker desaparecer sem preencher o arquivo de log? É um servidor virtual 14.04 LTS.

Editar: usar limit_req faria alguma diferença nisso? Editar dois: Aqui está o status do UFW, ele é bruto forçando um POST para o site. Ele bloqueou com sucesso, mas o firewall não deveria impedi-lo de chegar ao nginx em primeiro lugar?

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22/tcp                     ALLOW       Anywhere
2222/tcp                   ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
21/tcp                     ALLOW       Anywhere
Anywhere                   DENY        XXX.XXX.X.XXX
22 (v6)                    ALLOW       Anywhere (v6)
22/tcp (v6)                ALLOW       Anywhere (v6)
2222/tcp (v6)              ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
21/tcp (v6)                ALLOW       Anywhere (v6)
    
por creativereason 19.01.2016 / 00:32

1 resposta

5

Mova a regra DENY acima da sua regra ALLOW para a porta 80 - eles são executados em ordem.

O SSH provavelmente não deve estar aberto a nenhum lugar, mas tenha cuidado para não se bloquear se você tiver um IP dinâmico.

Considere um CDN como o CloudFlare , que oferece proteção contra muitas ameaças, um firewall, etc., com planos gratuitos e pagos.

    
por 19.01.2016 / 01:33