Linux

如何基於 HTTPS 上的匹配字元串丟棄傳出流量

  • March 13, 2019

我正在管理一個小型共享託管伺服器。今天我收到了來自我的託管服務提供商的投訴,說我的伺服器正在其他網站的 wp-login.php 頁面上發送請求。我實施了防火牆規則

/sbin/iptables -I OUTPUT -p tcp --dport 80 -m string --string "wp-login.php" --algo kmp -j REJECT --reject-with tcp-reset

我測試並從我的伺服器看到我無法向http://testsite.com/wp-login.php. 這很棒,並且可以按預期工作。

但是,我仍然收到了關於這個問題的進一步投訴,所以我猜一個壞使用者正在使用 HTTPS 攻擊目標網站的 wp-login.php。我實施了以下規則,但它不起作用

/sbin/iptables -I OUTPUT -p tcp --dport 443 -m string --string "wp-login.php" --algo kmp -j REJECT --reject-with tcp-reset

我明白了,因為通過 HTTPS URL 是加密的,所以這個方法不起作用。

我想問我應該如何解決這個問題來防止/阻止/辨識罪魁禍首?

提前致謝!

為 Web 使用者丟棄 OUTPUT

iptables -A OUTPUT -m owner --gid-owner web-users -j DROP

安裝透明本地代理。阻止那裡的交通。

引用自:https://serverfault.com/questions/958018