Добавление правил iptables для отражения атак на сервер Печать
Добавил(а) microsin   

Добавление блокировок (aaa.bbb.5.187 и ddd.eee.104.148 блокируемые IP-адреса, /32 задает маску, т. е. одним правилом блокироваться будет только 1 адрес): 

# iptables -I INPUT -s aaa.bbb.5.187/32 -j DROP
# iptables -I INPUT -s ddd.eee.104.148/32 -j DROP 

Для разблокировки используйте команды:

# iptables -D INPUT -s aaa.bbb.5.187/32 -j DROP
# iptables -D INPUT -s ddd.eee.104.148/32 -j DROP

[Как вычислить источник атаки]

1. Определите, с каких адресов есть наибольшая активность на подключение к порту 80. Для этого запустите следующую команду:

# PORT=80; echo "Most active IPs on port: $PORT"; netstat -antp | grep ":$PORT " | awk '{print $5}' | cut -d ':' -f '1' | sort | uniq -c | sort -n | tac | head -n 10; echo ' ...'; echo "With total of ~$(netstat -antp | awk '{print $4}' | grep -c ":$PORT$") connections"

В ответ будет получен примерно такой результат:

Most active IPs on port: 80
39 107.170.162.155
10 213.87.147.217
8 31.41.112.116
7 188.163.66.194
6 95.30.28.99
6 95.211.214.169
6 84.240.29.33
6 217.30.244.100
6 2.132.178.204
6 195.66.137.142
...
With total of ~175 connections

2. Определите, с каких адресов за сутки было больше всего подключений. Это можно сделать фильтрацией логов следующей командой:

# cat /var/www/httpd-logs/*.access.log |awk '{print $1}' |sort |uniq -c |sort

В ответ будет выведен примерно такой листинг:

      1 1.0.187.223
      1 104.239.240.75
      1 104.250.147.22
      1 106.161.213.59
      ...
    991 107.170.162.155
   1477 66.102.9.14
   1582 66.102.9.125
   1652 66.102.9.3
   3090 66.249.78.67
  11885 79.172.5.187
  12776 82.200.104.148

После этого проанализируйте полученные листинги, и выберите IP-адреса для добавления блокировки в iptables.

[Ссылки]

1. Securitycheck site:extensions.joomla.org.
2. Security Checklist/You have been hacked or defaced site:docs.joomla.org.
3. Find information on any IPv4 Address site:ipwhoisinfo.com.
4Защита Joomla с помощью iptables.
5Автоматическая загрузка правил для iptables.