Ubuntu

阻止IP地址後的Ubuntu Nginx,仍然顯示在日誌中

  • February 13, 2022

我有一個伺服器,它一直試圖通過 xml-rpc 文章在 wordpress 網站上進行暴力破解。我已經在 nginx.conf 中阻止了 IP 地址,並註意到我在日誌文件中不斷收到這些錯誤,並且由於它們是蠻力的,這只是一個非常非常慢的 DDOS(因為它們導致日誌文件佔用空間)。

$$ error $$30912#0: *4600 規則禁止訪問,客戶端:

我在這裡搜尋了日誌文件更改,但看起來 403 錯誤是全有或全無,這對我沒有幫助(不會看到任何其他錯誤)。

為了解決這個問題,我嘗試通過防火牆阻止(在防火牆表周圍使用 UFW 包裝器)並在其上添加了一個條目,顯示如下狀態:

任何地方拒絕 XXX.XXX.X.XXX(已編輯)

但是,即使在啟用防火牆規則並檢查以確保它們正在執行之後,在跟踪日誌文件時,我仍然一遍又一遍地寫入相同的錯誤條目 403 錯誤。

關於如何在不填寫日誌文件的情況下讓這個黑客離開的任何想法?這是一個虛擬的 14.04 LTS 伺服器。

編輯:使用會limit_req對此有任何影響嗎?編輯二:這是 UFW 狀態,他強行向該站點發送 POST。他已經成功阻止了,但是防火牆不應該首先阻止他訪問 nginx 嗎?

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
22/tcp                     ALLOW       Anywhere
2222/tcp                   ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere
21/tcp                     ALLOW       Anywhere
Anywhere                   DENY        XXX.XXX.X.XXX
22 (v6)                    ALLOW       Anywhere (v6)
22/tcp (v6)                ALLOW       Anywhere (v6)
2222/tcp (v6)              ALLOW       Anywhere (v6)
80/tcp (v6)                ALLOW       Anywhere (v6)
21/tcp (v6)                ALLOW       Anywhere (v6)

將您的 DENY 規則移到埠 80 的 ALLOW 規則之上 - 它們按順序執行。

SSH 可能不應該對任何地方開放,但如果您有動態 IP,請注意不要將自己鎖定。

考慮像CloudFlare這樣的 CDN ,它通過免費和付費計劃提供針對許多威脅、防火牆等的保護。

insert使用該選項在所有內容之上放置一條規則 。

步驟 1- 獲取規則編號:

sudo ufw status numbered  

第 2 步 - 將此規則放在所需的數字上 - 在本例中為 1,以便它覆蓋其他允許

sudo ufw insert 1 deny from xx.xxx.xx.xx

引用自:https://serverfault.com/questions/750046