Ubuntu
阻止IP地址後的Ubuntu Nginx,仍然顯示在日誌中
我有一個伺服器,它一直試圖通過 xml-rpc 文章在 wordpress 網站上進行暴力破解。我已經在 nginx.conf 中阻止了 IP 地址,並註意到我在日誌文件中不斷收到這些錯誤,並且由於它們是蠻力的,這只是一個非常非常慢的 DDOS(因為它們導致日誌文件佔用空間)。
$$ error $$30912#0: *4600 規則禁止訪問,客戶端:
我在這裡搜尋了日誌文件更改,但看起來 403 錯誤是全有或全無,這對我沒有幫助(不會看到任何其他錯誤)。
為了解決這個問題,我嘗試通過防火牆阻止(在防火牆表周圍使用 UFW 包裝器)並在其上添加了一個條目,顯示如下狀態:
任何地方拒絕 XXX.XXX.X.XXX(已編輯)
但是,即使在啟用防火牆規則並檢查以確保它們正在執行之後,在跟踪日誌文件時,我仍然一遍又一遍地寫入相同的錯誤條目 403 錯誤。
關於如何在不填寫日誌文件的情況下讓這個黑客離開的任何想法?這是一個虛擬的 14.04 LTS 伺服器。
編輯:使用會
limit_req
對此有任何影響嗎?編輯二:這是 UFW 狀態,他強行向該站點發送 POST。他已經成功阻止了,但是防火牆不應該首先阻止他訪問 nginx 嗎?To Action From -- ------ ---- 22 ALLOW Anywhere 22/tcp ALLOW Anywhere 2222/tcp ALLOW Anywhere 80/tcp ALLOW Anywhere 21/tcp ALLOW Anywhere Anywhere DENY XXX.XXX.X.XXX 22 (v6) ALLOW Anywhere (v6) 22/tcp (v6) ALLOW Anywhere (v6) 2222/tcp (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) 21/tcp (v6) ALLOW Anywhere (v6)
將您的 DENY 規則移到埠 80 的 ALLOW 規則之上 - 它們按順序執行。
SSH 可能不應該對任何地方開放,但如果您有動態 IP,請注意不要將自己鎖定。
考慮像CloudFlare這樣的 CDN ,它通過免費和付費計劃提供針對許多威脅、防火牆等的保護。
insert
使用該選項在所有內容之上放置一條規則 。步驟 1- 獲取規則編號:
sudo ufw status numbered
第 2 步 - 將此規則放在所需的數字上 - 在本例中為 1,以便它覆蓋其他允許
sudo ufw insert 1 deny from xx.xxx.xx.xx