Многие IP-адреса просматривают страницу входа в систему/возможно, брутфорс, что делать?

  • Автор темы Taraqan
  • Обновлено
  • 12, May 2024
  • #1
Привет, на сервере с Apache размещено несколько сайтов.

Форма входа на один из веб-сайтов является целью какой-то распределенной атаки или взлома пароля методом перебора. Я вижу, что около 5000 IP-адресов обращаются к этой странице входа вежливо, а не агрессивно.

Я уверен, что это не люди. Несколько посещений на один IP и медленно растет. Я могу вручную запретить брандмауэром некоторые подсети, такие как 123.45.. и т. д., а также могу запретить многие сотни IP-адресов непосредственно в брандмауэре, но я боюсь большого использования памяти ядром, потому что слишком много правил iptables.

Есть ли лучший способ предотвратить перегрузку сервера.

Как и в случае с модом безопасности, я тоже использую брандмауэр CSF. Кажется, что все посещения имеют один и тот же пользовательский агент: IPHERE - - [28/Jun/2016:13:41:50 +0000] "GET /user/login HTTP/1.0" 200 18666 "https://MYDOMAIN.com/

" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0"

Я помню, что использовал правило безопасности мода, чтобы заблокировать доступ к wp-login.php без реферера:

SecRule REQUEST_METHOD "POST" "deny,status:401,id:5000130,log,chain,msg:'запрос на вход в систему wp заблокирован, нет реферера'"

SecRule & HTTP_REFERER "@eq 0" "цепочка"

SecRule REQUEST_URI "wp-login.php"

Так может быть, я могу использовать подобное правило? Или правило, которое блокирует совпадение указанного пользовательского агента и URL-адреса входа? Есть ли лучший способ? Спасибо

Taraqan


Рег
05 Apr, 2015

Тем
68

Постов
184

Баллов
544
Тем
403,760
Комментарии
400,028
Опыт
2,418,908

Интересно