明らかなハッキングの試みのIPアドレスをブロックする
簡単なApacheWebサーバーのセットアップと、開発サーバー用の基本的なIPテーブル(ufw)があります。私のログには、次のような行があります。
[Fri May 16 10:10:36.258369 2014] [:error] [pid 15926] [client 69.147.158.130:8396] script '/var/www/html/wp-login.php' not found or unable to stat
私はWordPressをまったく実行していませんが、これはハッキングのごくわずかな試みであることに気付きました(Apacheに対するより高度な攻撃があります)。ただし、これを自動的にブロックしたいと思います。 SnortなどのIDS/IPSをインストールせずに(一時的に)IPアドレス。
Wp-adminまたはwp-loginに接続しようとするアドレスをブロックする簡単な方法を探しています。このようなものを処理するApacheモジュールはありますか?
あなたは明らかにIPアドレスをブロックする解決策を求めていますが、それは良い解決策ではないと思います。
その理由は、これらの試みが1つのマスターシステムによって制御されている可能性が高いさまざまなIPアドレスからのものであるためです。これは、今日のDDoSおよびハッキングの試みがどのように発生するかという性質にすぎません。
代わりに、 ModSecurity の実装を検討する必要があります。これは、Webサービスレベルのファイアウォールとして機能するApacheモジュールです。それはあなたのサイトに来るすべてのウェブトラフィックを分析し、既知の異常な振る舞いを検出した場合、「403:Forbidden」応答によってそのトラックでブロックされた死者にアクセスします。
少しネガティブな面は、MidSecurityにはうまく機能するデフォルトのルールセットが数十あることですが、誤検知が発生する可能性があります。したがって、実装するときは、最初の数週間は微調整する必要があります。
しかし、最終的な結果は、この「あなたを知る」期間の後に、既知の悪い動作からサイトをヒューリスティックに保護するツールを手に入れることです。また、IPアドレスのリストを保持するだけではありません。