如何在Ubuntu服务器上使用UFW阻止对WordPress的攻击？

2020-08-20 原文

在ny Ubuntu 14的盒子里,我有一些奇怪的活动,就像在wordpress页面上攻击一样. Apache日志显示了很多这样的：

191.96.249.54 - - [25/May/2016:00:46:57 +0200] "POST /xmlrpc.PHP HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [25/May/2016:00:46:58 +0200] "POST /xmlrpc.PHP HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.54 - - [25/May/2016:00:46:59 +0200] "POST /xmlrpc.PHP HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.53 - - [25/May/2016:00:47:00 +0200] "POST /xmlrpc.PHP HTTP/1.0" 500 585 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

它看起来与这里描述的情况完全相同：http://blog.carlesmateo.com/2014/08/30/stopping-and-investigating-a-wordpress-xmlrpc-php-attack/

我想到的第一件事就是用iptables阻止那些人,所以我把：

iptables -A INPUT -s 191.96.249.54 -j DROP
iptables -A INPUT -s 191.96.249.53 -j DROP

但它继续前进.

因为我使用UFW我添加了UFW规则：

ufw deny from 191.96.249.54 to any
ufw deny from 191.96.249.53 to any

但没有任何改善.
然后我禁用了UFW并停止了！

Mu UFW规则是(ufw status)：

Status: active

To                         Action      From
--                         ------      ----
80                         ALLOW       Anywhere
443                        ALLOW       Anywhere
143                        ALLOW       Anywhere
993                        ALLOW       Anywhere
25/tcp                     ALLOW       Anywhere
465/tcp                    ALLOW       Anywhere
Anywhere                   DENY        191.96.249.54
Anywhere                   DENY        191.96.249.53
80 (v6)                    ALLOW       Anywhere (v6)
443 (v6)                   ALLOW       Anywhere (v6)
143 (v6)                   ALLOW       Anywhere (v6)
993 (v6)                   ALLOW       Anywhere (v6)
25/tcp (v6)                ALLOW       Anywhere (v6)
465/tcp (v6)               ALLOW       Anywhere (v6)

然后我意识到第一个规则是允许http …所以我删除它并再次添加它,所以现在它在链的末尾.
它有所帮助.
显然我应该像这样插入阻止规则：

ufw insert [position] [theRule]

我对吗？显然这很有效,但这是好的做法还是应该以其他方式做到？

我建议学习ipset.

与UFW情况类似,iptables -A在netfilter链的末尾附加一条新规则.这意味着如果在您添加的规则之前存在匹配规则,则不会触发规则.

所以,在你的情况下,你应该输入

iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP

默认情况下,将规则插入链中的第一个位置.

使用命令iptables-save检查整个链.

现在,每当你受到攻击时改变iptables规则链将是非常有问题的,并且充满危险,特别是因为你正在使用’毯子DROP’.此外还必须删除规则.

所以,使用ipset.这是一个很好的指南,包含很好的示例和一些性能影响分析：

http://daemonkeeper.net/781/mass-blocking-ip-addresses-with-ipset/

关键是要输入以下两个命令：

ipset create blacklist hash:ip hashsize 4096
iptables -I INPUT -m set --match-set blacklist src -p TCP \
    --destination-port 80 -j DROP

现在,您只需将可疑IP地址添加到设置黑名单,就不必再次与规则处理顺序竞争.

如何在Ubuntu服务器上使用UFW阻止对WordPress的攻击？的更多相关文章

Android：从应用程序内启动Firefox

只是想知道是否有人知道启动Firefox移动浏览器的正确意图.我无法在任何地方找到它,所以我希望有人知道.谢谢解决方法这将为Firefox创建一个意图：
Android的Firefox源代码

我最近看到了FirefoxforAndroid的发布.似乎firefox有几个很棒的功能和性能改进.我想知道Android平台的源代码是否已经发布,如果是,我可以在哪里获得最新的源代码？
windows-8 – Windows 8是否编译JavaScript？

是.Jcol由Chakra引擎在Windows8上执行.与.NET即时编译器类似,它将javascript转换为优化的机器代码.此外,谷歌的V8和Mozilla的TraceMonkey引擎采取的方法.一些背景信息ishere.
centos – 我服务器上的奇怪访问日志

每天,有一个IP58.218.204.110试图从我的服务器获取一个不存在的文件hxxp：//216.245.205.74/judge.PHP.IP216.245.205.74不是我的服务器IP.我只是忽略它还是有任何问题？谢谢.wordpress统计：日期时间IP威胁页面OS浏览器2010年8月4日13:23:0758.218.204.1100hxxp：//216.245.205.74/judg
如何在Ubuntu服务器上使用UFW阻止对WordPress的攻击？

MuUFW规则是：然后我意识到第一个规则是允许http…所以我删除它并再次添加它,所以现在它在链的末尾.它有所帮助.显然我应该像这样插入阻止规则：我对吗？显然这很有效,但这是好的做法还是应该以其他方式做到？
CentOS6.5下Python3+PhantomJS验证校园网实战

如果不指定这个安装目录的话，最后python的安装文件将分散到linux的默认目录，不在一块。我们指定安装目录，以后卸载的话直接删除目录就可以干净卸载了。
php – 如果没有预匹配

例如,目前我们有……我们想检查Mozilla字符串是否不在$agent中,但仍然有preg_match返回true.所以我们不能把它改成……谢谢你想要的是一个negativelookahead,语法是：实际上,你可以为#^(？！但只有你不能用它！
php – Div在Mozilla firefox中表现不佳

我使用thisplugin来显示书籍,这个结果显示出良好的效果IE浏览器和Chrome浏览器但结果在MozillaFirefox中表现不佳！>Goodimage-Chromebrowser>Notgoodimage-MozillaFirefox*Livedemo*码：html/PHP代码编辑：我添加了说明.未给出示例中使用的CSS“row”和“pinBoot”选择器规则.我已经使用并尝试过原始的CSS选择器.问题可能在于“row”和“pinBoot”选择器.将“容器”添加到“行”类时也可以使用它.对不起英
php – cURL真的很慢

有没有人知道为什么在PHP5下cURL即使在45s超时也无法缓慢失败,在speedO’light服务器上下载几个kb文件？代码在这里按要求提供：嗯,可能是一些事情,也许一些详细的输出会有某种错误有时,用户代理会更改站点的响应方式,可能需要执行以下操作：
php-curl命令返回http / 1.1 406不可接受的错误

谢谢在某些情况下,我曾经,伪造代理解决了这个问题,通过使用：同样使用libcurlC-API：

随机推荐

crontab发送一个月份的电子邮件

ubuntu14.04邮件服务器：Postfixroot收到来自crontab的十几封电子邮件.这些邮件包含PHP警告.>我已经解决了这些警告的原因.>我已修复每个cronjobs不发送电子邮件(输出发送到>/dev/null2>&1)>我删除了之前的所有电子邮件/var/mail/root/var/spool/mail/root但我仍然每小时收到十几封电子邮件.这些电子邮件来自cronjobs,
模拟两个ubuntu服务器计算机之间的慢速连接

我想模拟以下场景：假设我有4台ubuntu服务器机器A,B,C和D.我想在机器A和机器C之间减少20％的网络带宽,在A和B之间减少10％.使用网络模拟/限制工具来做到这一点？
ubuntu-12.04 – 如何在ubuntu 12.04中卸载从源安装的redis？

我从源代码在Ubuntu12.04上安装了redis-server.但在某些时候它无法完全安装,最后一次makeinstallcmd失败.然后我刚刚通过apt包安装.现在我很困惑哪个安装正在运行哪个conf文件？实际上我想卸载/删除通过源安装的所有内容,只是想安装一个包.转到源代码树并尝试以下命令：如果这不起作用,您可以列出软件自行安装所需的步骤：
ubuntu – “apt-get source”无法找到包但“apt-get install”和“apt-get cache”可以找到它

我正在尝试下载软件包的源代码,但是当我运行时它无法找到.但是当我运行apt-cache搜索squid3时,它会找到它.它也适用于apt-getinstallsquid3.我使用的是Ubuntu11.04服务器,这是我的/etc/apt/sources.list我已经多次更新了.我尝试了很多不同的debs,并没有发现任何其他地方的错误.这里的问题是你的二进制包(deb)与你的源包(deb-src)不
ubuntu – 有没有办法检测nginx何时完成正常关闭？

&&touchrestarted),因为即使Nginx没有完成其关闭,touch命令也会立即执行.有没有好办法呢？这样的事情怎么样？因此,pgrep将查找任何Nginx进程,而while循环将让它坐在那里直到它们全部消失.你可以改变一些有用的东西,比如睡1;/etc/init.d/Nginx停止,以便它会休眠一秒钟,然后尝试使用init.d脚本停止Nginx.你也可以在某处放置一个计数器,这样你就可以在需要太长时间时发出轰击信号.
ubuntu – 如何将所有外发电子邮件从postfix重定向到单个地址进行测试

我正在为基于Web的应用程序设置测试服务器,该应用程序发送一些电子邮件通知.有时候测试是使用真实的客户数据进行的,因此我需要保证服务器在我们测试时无法向真实客户发送电子邮件.我想要的是配置postfix,以便它接收任何外发电子邮件并将其重定向到一个电子邮件地址,而不是传递到真正的目的地.我正在运行ubuntu服务器9.10.先感谢您设置本地用户以接收所有被困邮件：你需要在main.cf中添加：然后
ubuntu – vagrant无法连接到虚拟框

当我使用基本的Vagrantfile,只配置了两条线：我看到我的虚拟框打开,但是我的流氓日志多次显示此行直到超时：然后,超时后的一段时间,虚拟框框终于要求我登录,但是太久了！所以我用流氓/流氓记录.然后在我的物理机器上,如果我“流氓ssh”.没有事情发生,直到：怎么了？
ubuntu – Nginx – 转发HTTP AUTH – 用户？

我和Nginx和Jenkins有些麻烦.我尝试使用Nginx作为Jenkins实例的反向代理,使用HTTP基本身份验证.它到目前为止工作,但我不知道如何传递带有AUTH用户名的标头？}尝试将此指令添加到您的位置块
Debian / Ubuntu – 删除后如何恢复/ var / cache / apt结构？

我在ubuntu服务器上的空间不足,所以我做了这个命令以节省空间但是现在在尝试使用apt时,我会收到以下错误：等等显然我删除了一些目录结构.有没有办法做apt-getrebuild-var-tree或类似的？
检查ubuntu上安装的rubygems版本？

如何查看我的ubuntu盒子上安装的rubygems版本？只是一个想法,列出已安装的软件包和grep为ruby或宝石或其他:)dpkg–get-selections