Привет,
на сервере с Apache размещено несколько сайтов. Форма входа на один из веб-сайтов является целью какой-то распределенной атаки или взлома пароля методом перебора.
Я вижу, что около 5000 IP-адресов обращаются к этой странице входа вежливо, а не агрессивно. Я уверен, что это не люди.
Несколько посещений на один IP и медленно растет.
Я могу вручную запретить брандмауэром некоторые подсети, такие как 123.45.. и т. д., а также могу запретить многие сотни IP-адресов непосредственно в брандмауэре, но я боюсь большого использования памяти ядром, потому что слишком много правил iptables. Есть ли лучший способ предотвратить перегрузку сервера. Как и в случае с модом безопасности, я тоже использую брандмауэр CSF.
Кажется, что все посещения имеют один и тот же пользовательский агент:
IPHERE - - [28/Jun/2016:13:41:50 +0000] "GET /user/login HTTP/1.0" 200 18666 "https://MYDOMAIN.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0"
Я помню, что использовал правило безопасности мода, чтобы заблокировать доступ к wp-login.php без реферера:
SecRule REQUEST_METHOD "POST" "deny,status:401,id:5000130,log,chain,msg:'запрос на вход в систему wp заблокирован, нет реферера'"
SecRule &HTTP_REFERER "@eq 0" "цепочка"
SecRule REQUEST_URI "wp-login.php"
Так может быть, я могу использовать подобное правило? Или правило, которое блокирует совпадение указанного пользовательского агента и URL-адреса входа? Есть ли лучший способ?
Спасибо
на сервере с Apache размещено несколько сайтов. Форма входа на один из веб-сайтов является целью какой-то распределенной атаки или взлома пароля методом перебора.
Я вижу, что около 5000 IP-адресов обращаются к этой странице входа вежливо, а не агрессивно. Я уверен, что это не люди.
Несколько посещений на один IP и медленно растет.
Я могу вручную запретить брандмауэром некоторые подсети, такие как 123.45.. и т. д., а также могу запретить многие сотни IP-адресов непосредственно в брандмауэре, но я боюсь большого использования памяти ядром, потому что слишком много правил iptables. Есть ли лучший способ предотвратить перегрузку сервера. Как и в случае с модом безопасности, я тоже использую брандмауэр CSF.
Кажется, что все посещения имеют один и тот же пользовательский агент:
IPHERE - - [28/Jun/2016:13:41:50 +0000] "GET /user/login HTTP/1.0" 200 18666 "https://MYDOMAIN.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0"
Я помню, что использовал правило безопасности мода, чтобы заблокировать доступ к wp-login.php без реферера:
SecRule REQUEST_METHOD "POST" "deny,status:401,id:5000130,log,chain,msg:'запрос на вход в систему wp заблокирован, нет реферера'"
SecRule &HTTP_REFERER "@eq 0" "цепочка"
SecRule REQUEST_URI "wp-login.php"
Так может быть, я могу использовать подобное правило? Или правило, которое блокирует совпадение указанного пользовательского агента и URL-адреса входа? Есть ли лучший способ?
Спасибо
