Linux
如何基於 HTTPS 上的匹配字元串丟棄傳出流量
我正在管理一個小型共享託管伺服器。今天我收到了來自我的託管服務提供商的投訴,說我的伺服器正在其他網站的 wp-login.php 頁面上發送請求。我實施了防火牆規則
/sbin/iptables -I OUTPUT -p tcp --dport 80 -m string --string "wp-login.php" --algo kmp -j REJECT --reject-with tcp-reset
我測試並從我的伺服器看到我無法向
http://testsite.com/wp-login.php
. 這很棒,並且可以按預期工作。但是,我仍然收到了關於這個問題的進一步投訴,所以我猜一個壞使用者正在使用 HTTPS 攻擊目標網站的 wp-login.php。我實施了以下規則,但它不起作用
/sbin/iptables -I OUTPUT -p tcp --dport 443 -m string --string "wp-login.php" --algo kmp -j REJECT --reject-with tcp-reset
我明白了,因為通過 HTTPS URL 是加密的,所以這個方法不起作用。
我想問我應該如何解決這個問題來防止/阻止/辨識罪魁禍首?
提前致謝!
為 Web 使用者丟棄 OUTPUT
iptables -A OUTPUT -m owner --gid-owner web-users -j DROP
安裝透明本地代理。阻止那裡的交通。