我有一個簡單的 Apache Web 伺服器設定和用於開發伺服器的基本 IP 表 (ufw)。在我的日誌中,我看到這樣的行:
[Fri May 16 10:10:36.258369 2014] [:error] [pid 15926] [client 69.147.158.130:8396] script '/var/www/html/wp-login.php' not found or unable to stat
我根本沒有運行 WordPress,我意識到這是一次非常小的駭客嘗試(還有針對 Apache 的更複雜的攻擊)。不過,我想(暫時)自動封鎖此 IP 位址,而無需安裝 Snort 等 IDS/IPS。
我只是在尋找一種簡單的方法來阻止嘗試連接到 wp-admin 或 wp-login 的地址。是否有一個 Apache 模組可以處理這樣的事情?
答案1
雖然您明確要求找到阻止 IP 位址的解決方案,但我認為這不是一個好的解決方案。
原因是您看到的這些嘗試來自很可能由一個主系統控制的各種 IP 位址。這就是當今 DDoS 和駭客攻擊的本質。
相反,您應該考慮實施模組安全。它是一個 Apache 模組,可充當 Web 服務級防火牆。它會分析進入您網站的所有網路流量,如果偵測到已知的異常行為,則會透過「403:禁止」回應來阻止我們的存取。
現在稍微不利的一面是,MidSecurity 有數十個運作良好的預設規則集,但可能會導致誤報。因此,當您實施它時,您很可能需要在前幾週對其進行調整。
但最終的結果是,在「了解您」之後,您將擁有一個工具,可以啟發式地保護您的網站免受已知不良行為的影響。而不僅僅是保留 IP 位址清單。
答案2
我不建議嘗試自動執行此操作,我建議手動封鎖 IP 。我要做的唯一自動化系統是一個腳本或類似的東西,可以解析您的日誌以查找類似的錯誤。
使用 ufw 阻止 IP
sudo ufw deny from <ip address>
與 iptables
sudo iptables -I INPUT -s <ip address> -j DROP
答案3
對我有用的解決方案是fail2ban,如@ceejayoz 的評論中所述
@iain - 這實際上是重複的 - 感謝您指出這一點。