Bloqueio de IPs do invasor: Quais opções eu tenho?

2

Um site meu está sendo atacado por alguns IPs. Eu nem sei se era um dodo ainda, eu só sei que ele tem preenchido os logs do meu aplicativo por mais de um dia, e então o servidor travou devido ao uso da memória mysql eu acho (recebi um email automático do webmin dizendo que o mysql caiu)

Eu tenho acesso a Iptables, mas não tenho certeza se quero que ele seja preenchido com ips bloqueados.

Eu só queria saber qual é a prática mais comum neste cenário, sou relativamente novo na administração de servidores.

Estou usando o linux Centos, Apache, Php e MySQL

    
por HappyDeveloper 23.05.2011 / 14:57

4 respostas

4

O Fail2Ban ( link ) pode funcionar em conjunto com um firewall como o iptables para monitorar arquivos de log e adicionar automaticamente regras para bloquear determinados IPs com base em várias regras, por exemplo um certo número de tentativas incorretas de senha.

    
por 23.05.2011 / 15:30
0

Se você encontrar o endereço IP do qual o ataque está ocorrendo, você pode seguir as etapas para bloqueá-lo. É o comum, bem como a prática efetiva em tais cenários. Depois disso, monitore o servidor com mais cuidado e certifique-se de que nenhum outro IP esteja fazendo ataques.

Se você achar que as regras da tabela IP são difíceis de gerenciar, use o CSF.

O CSF é um front-end para regras de IPtable.

    
por 23.05.2011 / 15:10
0

Existem algumas opções dependendo da sua infraestrutura. Você está usando um dispositivo de segurança de borda, como um firewall de hardware (PIX, ASA, Sonicwall, watchguard, firebox, etc)? Se assim for, você pode simplesmente preencher os IP's (configurar uma regra que envia todos os seus pacotes para alguma sub-rede que não existe, ou para um honeypot, / dev / null, etc). Você também pode configurar o dispositivo para descartar tudo o que receber.

Se o seu próprio servidor estiver diretamente na internet ou em um DMZ, você pode configurar o iptables / ipchains para eliminar tudo desse grupo de IPs. Seu problema é um pouco pior, embora seja originário de uma botnet, porque o potencial conjunto de IPs pode ser incrível.

    
por 23.05.2011 / 15:20
0

Você pode limitar as conexões por ip com iptables.

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset

    
por 23.05.2011 / 15:54