Добавление правил iptables для отражения атак на сервер |
Добавил(а) microsin |
Добавление блокировок (aaa.bbb.5.187 и ddd.eee.104.148 блокируемые IP-адреса, /32 задает маску, т. е. одним правилом блокироваться будет только 1 адрес): # iptables -I INPUT -s aaa.bbb.5.187/32 -j DROP Для разблокировки используйте команды: # iptables -D INPUT -s aaa.bbb.5.187/32 -j DROP [Как вычислить источник атаки] 1. Определите, с каких адресов есть наибольшая активность на подключение к порту 80. Для этого запустите следующую команду: # PORT=80; echo "Most active IPs on port: $PORT"; netstat -antp | grep ":$PORT " | awk '{print $5}' | cut -d ':' -f '1' | sort | uniq -c | sort -n | tac | head -n 10; echo ' ...'; echo "With total of ~$(netstat -antp | awk '{print $4}' | grep -c ":$PORT$") connections" В ответ будет получен примерно такой результат: Most active IPs on port: 80 39 107.170.162.155 10 213.87.147.217 8 31.41.112.116 7 188.163.66.194 6 95.30.28.99 6 95.211.214.169 6 84.240.29.33 6 217.30.244.100 6 2.132.178.204 6 195.66.137.142 ... With total of ~175 connections 2. Определите, с каких адресов за сутки было больше всего подключений. Это можно сделать фильтрацией логов следующей командой: # cat /var/www/httpd-logs/*.access.log |awk '{print $1}' |sort |uniq -c |sort В ответ будет выведен примерно такой листинг: 1 1.0.187.223 1 104.239.240.75 1 104.250.147.22 1 106.161.213.59 ... 991 107.170.162.155 1477 66.102.9.14 1582 66.102.9.125 1652 66.102.9.3 3090 66.249.78.67 11885 79.172.5.187 12776 82.200.104.148 После этого проанализируйте полученные листинги, и выберите IP-адреса для добавления блокировки в iptables. [Ссылки] 1. Securitycheck site:extensions.joomla.org. |