LINEで送る
Pocket

Adachinですっ。

だいぶ前にadachin-serverブログにアタックがぱないので、

fail2banを導入してダマらしました。

そもそも毎回iptablesで手動でDROPするのは理想的ではないので自動化しちゃえって感じです。

以下のようにxmlrpc.phpへのアタックがやたら激しいので、ログ見るとこんな感じ来ているかと思います。

オーストラリアからアタックってなんか悲しいw

ひとまずfail2banでの設定方法をブログします。bannedphones


■fail2banとは

簡単に言うとログ監視ツールのことで、
設定した単位時間内に設定した回数以上のパターンにマッチするログが現れたら、
iptablesなり拒否してくれる優れものです。


■インストールと設定

・CentOS

・Ubuntu

インストールしたらiptablesのblocktypeを変更します。

・CentOS

・Ubuntu

・xmlrpc.php設定追加

あとはCentOSもUbuntuも変わらないので
/xmlrpc.phpに来ているアタックをiptablesで拒否るように設定を追加します。
(今回はnginxですがapacheでも変わりません)

・fail2ban自動起動/起動


・ちゃんと拒否してくれるか確認

上記にあったIPはちゃんとDROPされてます


■まとめ

しつこいアタックくる場合はfail2ban入れて自動的にBANしてくれるのはとてもいいですね!
他にもSSHアタック来た場合ももちろんfail2ban入れて拒否できるので試してはいかかでしょうか!
にしてもfail2banのロゴダサイ。。。
ちなみに/var/log/fail2ban.logにbanされたIPが出力されてます。

参考:http://xplus3.net/2013/05/09/securing-xmlrpc-wordpress/

LINEで送る
Pocket


あだちん

1989年生まれ。 ランサーズ/SRE。 ホスティングから大規模なアドテクなどのインフラエンジニアとして携わり、他社インフラレスポンス改善、ランサーズでの副業、ansibleでのインフラコード化を推進し、未経験によるエンジニアのMENTAなども実施している。また、「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/広報/VulsRepo init file,chatwork通知のコントリビュータでもある。現在はDocker開発環境の提供,AWSで新サービスのインフラ構築,PHPバージョンアップ,分析基盤を担当しておりDigdag,embulk,BigQueryを使いこなし中。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください