Bloqueio de endereços IP de tentativas de invasão óbvias [duplicado]

Navegue suas respostas
2

Eu tenho uma configuração simples do servidor web Apache e tabelas IP básicas (ufw) para um servidor de desenvolvimento. Nos meus logs vejo linhas como esta: 

[Fri May 16 10:10:36.258369 2014] [:error] [pid 15926] [client 69.147.158.130:8396] script '/var/www/html/wp-login.php' not found or unable to stat

Eu não estou executando o WordPress, e percebo que esta é uma tentativa muito pequena de hack (há ataques muito mais sofisticados contra o Apache por aí). No entanto, gostaria de bloquear automaticamente esse endereço IP (temporariamente) sem instalar um IDS / IPS como o Snort.

Estou apenas procurando uma maneira simples de bloquear um endereço que tente se conectar ao wp-admin ou wp-login. Existe um módulo do Apache que lida com algo assim?

    
por Aaron Murray 16.05.2014 / 19:26

3 respostas

1

Enquanto você está claramente pedindo uma solução para bloquear endereços IP, não acho que seja uma boa solução.

O motivo é que essas tentativas que você vê são provenientes de vários endereços IP provavelmente controlados por um sistema mestre. Essa é simplesmente a natureza de como DDoS & tentativas de hackers ocorrem hoje em dia.

Em vez disso, você deve procurar implementar o ModSecurity . É um módulo do Apache que atua como um firewall de nível de serviço da web. Ele analisa todo o tráfego da Web que chega ao seu site e, se detectar um comportamento aberrante conhecido, acessa-nos bloqueados mortos em suas faixas por uma resposta "403: Proibida".

Agora, o lado um pouco negativo é que o MidSecurity tem dezenas de conjuntos de regras padrão que funcionam bem, mas podem causar falsos positivos. Então, quando você implementá-lo, você provavelmente precisará ajustá-lo durante as primeiras semanas.

Mas o resultado final é depois desse período de "conhecer você", que você terá uma ferramenta que protege heuristicamente seu site contra um mau comportamento conhecido. E não apenas mantenha uma lista de endereços IP.

    
por 16.05.2014 / 21:14
-1

Eu não recomendaria tentar fazer isso automaticamente, eu recomendaria bloquear manualmente o IP. O único sistema automatizado que eu faria seria um script ou algo parecido que analise seus logs em busca de erros semelhantes.

Para bloquear um IP com o ufw sudo ufw deny from <ip address>

com iptables sudo iptables -I INPUT -s <ip address> -j DROP

    
por 16.05.2014 / 19:41
-1

A solução que funciona para mim é o fail2ban, conforme observado no comentário de @ceejayoz

@iain - Isso é de fato duplicado - obrigado por apontar isso.

    
por 16.05.2014 / 19:58

Tags

Configuração de armazenamento de cluster do Beowulf [fechada] O servidor do Domino sempre falha ao enviar e-mail SMTP na primeira tentativa