Adachinですっ。

だいぶ前にadachin-serverブログにアタックがぱないので、

fail2banを導入してダマらしました。

そもそも毎回iptablesで手動でDROPするのは理想的ではないので自動化しちゃえって感じです。

以下のようにxmlrpc.phpへのアタックがやたら激しいので、ログ見るとこんな感じ来ているかと思います。

オーストラリアからアタックってなんか悲しいw

ひとまずfail2banでの設定方法をブログします。bannedphones


■fail2banとは

簡単に言うとログ監視ツールのことで、
設定した単位時間内に設定した回数以上のパターンにマッチするログが現れたら、
iptablesなり拒否してくれる優れものです。


■インストールと設定

・CentOS

・Ubuntu

インストールしたらiptablesのblocktypeを変更します。

・CentOS

・Ubuntu

・xmlrpc.php設定追加

あとはCentOSもUbuntuも変わらないので
/xmlrpc.phpに来ているアタックをiptablesで拒否るように設定を追加します。
(今回はnginxですがapacheでも変わりません)

・fail2ban自動起動/起動


・ちゃんと拒否してくれるか確認

上記にあったIPはちゃんとDROPされてます


■まとめ

しつこいアタックくる場合はfail2ban入れて自動的にBANしてくれるのはとてもいいですね!
他にもSSHアタック来た場合ももちろんfail2ban入れて拒否できるので試してはいかかでしょうか!
にしてもfail2banのロゴダサイ。。。
ちなみに/var/log/fail2ban.logにbanされたIPが出力されてます。

参考:http://xplus3.net/2013/05/09/securing-xmlrpc-wordpress/



adachin

1989年生まれのFindy/SRE。ホスティングから大規模なアドテクなどのインフラエンジニアとして携わる。現在はサービスの信頼性向上、DevOps、可用性、レイテンシ、パフォーマンス、モニタリング、オブザーバビリティ、緊急対応、AWSでのインフラ構築、Docker開発環境の提供、IaC、新技術の検証、リファクタリング、セキュリティ強化、分析基盤の運用などを担当している。個人事業主では数社サーバー保守とベンチャー企業のSREインフラコンサルティングやMENTA/TechBullで未経験者にインフラのコーチング/コミュニティマネージャーとして立ち上げと運営をしている。また、過去「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/技術広報/テクニカルサポート/コントリビュータでもある。

0件のコメント

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください