J'ai un serveur qui continue à essayer de pirater par force brute via xml-rpc post sur un site wordpress. J'ai bloqué l'adresse IP dans nginx.conf et j'ai remarqué que je continuais à obtenir ces erreurs dans le fichier journal. Comme il s'agit d'un piratage par force brute, il s'agit juste d'un DDOS très, très lent (car il fait prendre de la place aux fichiers journaux).
[error] 30912#0 : *4600 accès interdit par la règle, client :
J'ai cherché ici les modifications du fichier journal, mais il semble que ce soit tout ou rien pour les erreurs 403 et cela ne m'aiderait pas (je ne verrais pas les autres).
Pour combattre ce problème, j'ai essayé de bloquer le pare-feu (en utilisant l'enveloppe UFW autour des tables du pare-feu) et j'ai ajouté une entrée qui apparaît comme ceci dans le statut :
N'importe où DENY XXX.XXX.X.XXX (expurgé)
Cependant, même après avoir activé les règles du pare-feu et vérifié qu'elles sont en cours d'exécution, j'obtiens toujours les mêmes entrées d'erreur (403 erreurs) dans le fichier journal.
Une idée sur la façon de faire disparaître ce pirate sans remplir le fichier journal ? Il s'agit d'un serveur virtuel 14.04 LTS.
Edit : Utiliserait-on limit_req fait une différence sur ce point ? Deuxième édition : Voici le statut de UFW, il force brutalement un POST sur le site. Il est bloqué avec succès, mais le pare-feu ne devrait-il pas l'empêcher d'accéder à nginx en premier lieu ?
To Action From
-- ------ ----
22 ALLOW Anywhere
22/tcp ALLOW Anywhere
2222/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
21/tcp ALLOW Anywhere
Anywhere DENY XXX.XXX.X.XXX
22 (v6) ALLOW Anywhere (v6)
22/tcp (v6) ALLOW Anywhere (v6)
2222/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
21/tcp (v6) ALLOW Anywhere (v6)
