|
Добавление блокировок (aaa.bbb.5.187 и ddd.eee.104.148 блокируемые IP-адреса, /32 задает маску, т. е. одним правилом блокироваться будет только 1 адрес):
# iptables -I INPUT -s aaa.bbb.5.187/32 -j DROP
# iptables -I INPUT -s ddd.eee.104.148/32 -j DROP
Для разблокировки используйте команды:
# iptables -D INPUT -s aaa.bbb.5.187/32 -j DROP
# iptables -D INPUT -s ddd.eee.104.148/32 -j DROP
[Как вычислить источник атаки]
1. Определите, с каких адресов есть наибольшая активность на подключение к порту 80. Для этого запустите следующую команду:
# PORT=80; echo "Most active IPs on port: $PORT"; netstat -antp | grep ":$PORT " | awk '{print $5}' | cut -d ':' -f '1' | sort | uniq -c | sort -n | tac | head -n 10; echo ' ...'; echo "With total of ~$(netstat -antp | awk '{print $4}' | grep -c ":$PORT$") connections"
В ответ будет получен примерно такой результат:
Most active IPs on port: 80
39 107.170.162.155
10 213.87.147.217
8 31.41.112.116
7 188.163.66.194
6 95.30.28.99
6 95.211.214.169
6 84.240.29.33
6 217.30.244.100
6 2.132.178.204
6 195.66.137.142
...
With total of ~175 connections
2. Определите, с каких адресов за сутки было больше всего подключений. Это можно сделать фильтрацией логов следующей командой:
# cat /var/www/httpd-logs/*.access.log |awk '{print $1}' |sort |uniq -c |sort
В ответ будет выведен примерно такой листинг:
1 1.0.187.223
1 104.239.240.75
1 104.250.147.22
1 106.161.213.59
...
991 107.170.162.155
1477 66.102.9.14
1582 66.102.9.125
1652 66.102.9.3
3090 66.249.78.67
11885 79.172.5.187
12776 82.200.104.148
После этого проанализируйте полученные листинги, и выберите IP-адреса для добавления блокировки в iptables.
[Ссылки]
1. Securitycheck site:extensions.joomla.org.
2. Security Checklist/You have been hacked or defaced site:docs.joomla.org.
3. Find information on any IPv4 Address site:ipwhoisinfo.com.
4. Защита Joomla с помощью iptables.
5. Автоматическая загрузка правил для iptables. |
