Eu tenho um servidor que continua tentando invadir a força bruta via post xml-rpc em um site wordpress. Eu bloqueei o endereço IP em nginx.conf e notei que continuei recebendo esses erros no arquivo de log, e como eles são de força bruta, isso é apenas um DDOS muito, muito lento (porque eles estão fazendo com que os arquivos de log ocupem espaço ).
[error] 30912#0: *4600 access forbidden by rule, client:
Eu procurei aqui por alterações no arquivo de log, mas parece que é tudo ou nada em erros 403 e isso não me ajudaria (não veria nenhum outro).
Para combater isso, eu tentei bloquear por firewall (usando o wrapper UFW ao redor das tabelas de firewall) e adicionei uma entrada que mostra isso no status:
Anywhere DENY XXX.XXX.X.XXX (redacted)
No entanto, mesmo depois de habilitar as regras de firewall, e verificar se eles estão em execução, ao seguir o arquivo de log eu ainda as mesmas entradas de erro 403 erros gravando repetidamente.
Alguma idéia de como fazer esse hacker desaparecer sem preencher o arquivo de log? É um servidor virtual 14.04 LTS.
Editar: usar limit_req faria alguma diferença nisso?
Editar dois: Aqui está o status do UFW, ele é bruto forçando um POST para o site. Ele bloqueou com sucesso, mas o firewall não deveria impedi-lo de chegar ao nginx em primeiro lugar?
To Action From
-- ------ ----
22 ALLOW Anywhere
22/tcp ALLOW Anywhere
2222/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
21/tcp ALLOW Anywhere
Anywhere DENY XXX.XXX.X.XXX
22 (v6) ALLOW Anywhere (v6)
22/tcp (v6) ALLOW Anywhere (v6)
2222/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
21/tcp (v6) ALLOW Anywhere (v6)
Mova a regra DENY acima da sua regra ALLOW para a porta 80 - eles são executados em ordem.
O SSH provavelmente não deve estar aberto a nenhum lugar, mas tenha cuidado para não se bloquear se você tiver um IP dinâmico.
Considere um CDN como o CloudFlare , que oferece proteção contra muitas ameaças, um firewall, etc., com planos gratuitos e pagos.