Vraag ufw ontkenning van ip lijkt niet te werken


Ik heb het toegangslog van mijn server in de gaten gehouden terwijl ik vandaag aan het werk was en ik heb gemerkt dat een van de wordpress-sites van mijn klant wordt gehamerd met inlogpogingen vanuit een IP vanuit het buitenland.

Ik wilde toegang vanaf dit IP-adres weigeren en probeerde de volgende ufw-opdracht:

sudo ufw deny from xx.xx.xx.xx to any

Ik zie dat de regel is toegevoegd en de firewall actief is, maar ik zie nog steeds een hoop berichten naar de inlogpagina vanaf dat ip-adres.

Ik heb ook geprobeerd om iptables te gebruiken, hoewel ik niet erg bekend ben met de tool:

sudo iptables -A INPUT -s xx.xx.xx.xx -j DROP

Heb ik dit verkeerd gedaan? Ik zou denken dat na het ontkennen van de toegang tot het ip-adres dat het niet zou verschijnen in mijn apache-toegangslog met een 200 ok-status voor de post naar de inlogpagina.

Bewerk: Zoals ik al zei, ufw is actief en de regel is aanwezig, hier is de uitvoer van de ufw-status (met de ip geblokkeerd):

root@mel:~# ufw status
Status: active

To                         Action      From
--                         ------      ----
22                         ALLOW       Anywhere
80                         ALLOW       Anywhere
1723                       ALLOW       Anywhere
8080                       ALLOW       Anywhere
6273                       ALLOW       Anywhere
36728                      DENY        Anywhere
Anywhere                   DENY        xx.xx.xx.xx
22                         ALLOW       Anywhere (v6)
80                         ALLOW       Anywhere (v6)
1723                       ALLOW       Anywhere (v6)
8080                       ALLOW       Anywhere (v6)
6273                       ALLOW       Anywhere (v6)
36728                      DENY        Anywhere (v6)

5
2018-01-12 15:29


oorsprong


Wat is de uitvoer van sudo ufw status? - Diamant
@bangal, ik heb het toegevoegd en bewerkt. - rmmoul
U moet de. Verplaatsen ufw deny from xx.xx.xx.xx to any aan de bovenkant / het begin staan ​​andere regels toe, dan zal het werken. - Diamant
Hoewel dit niet de beste manier is om dergelijke aanvallen te verzachten. Probeer te gebruiken fail2ban die dit dynamisch kan blokkeren. - Diamant
@bengal, ik heb fail2ban ook ingesteld, maar zal moeten onderzoeken waarom mijn instellingen hem niet hebben verbannen na te veel inlogpogingen of hoe ik het kan instellen om mislukte wordpress-inlogpogingen te herkennen. Ik moest vooral zijn verkeer de mond snoeren omdat het het moeilijk maakte om naar de log te kijken voor waar ik aan werkte. grep had de log output voor mij kunnen opschonen, maar dit leek me ook een goed idee. - rmmoul


antwoorden:


De volgorde van de firewallregels is belangrijk. Aangezien u in het begin poort 80 hebt toegestaan ​​voor iedereen, komt deze regel overeen met alle verzoeken en wordt de weigeringsregel die later komt nooit gekoppeld.

Dus als je iets moet blokkeren particluarly, zet het aan het begin en dan sta alles toe.

Gebruik deze om uw regels met een referentienummer te bekijken:

sudo ufw status numbered

Verwijder vervolgens eerst de ontkenningsregel die u hebt toegevoegd:

sudo ufw delete rule_number_here

Voeg het vervolgens opnieuw toe aan de bovenkant:

sudo ufw insert 1 deny from xx.xx.xx.xx to any

Voor meer informatie: https://help.ubuntu.com/community/UFW#Deny_Access

Houd er ook rekening mee dat ufw niet de beste tool is om dergelijke aanvallen te beperken. Probeer te gebruiken fail2ban, dat kan dit dynamisch doen.

Hier is een relevante how-to: Hoe een Apache-server te beveiligen met Fail2Ban op Ubuntu 14.04


10
2018-01-12 15:56



wat als de Deny-regels voor het betreffende IP al bovenaan staan ​​boven de regels Toestaan ​​en het beledigende IP-adres nog steeds niet blokkeert? - stantonk
@stantonk, er kunnen andere redenen zijn die afhankelijk zijn van elke configuratie en situatie. Stel een nieuwe vraag met uw configuratie en problemen, zodat mensen u kunnen helpen. - Diamant