*

Firewalldで特定IPからの接続をdrop

公開日: : 投稿者:raru CentOS7, Linux, サーバ

このサイトは見ての通りwordpressなのですが、wordpressではloginのurlが推測されやすいために結構攻撃を受けます。
私程度のサイトでも結構な頻度で攻撃されます。
Limit Login Attemptというプラグインを利用していると、攻撃をしかけてきているIPとその際にアクセスしようとしたログインIDがわかるのですが、久しぶりにみたら結構すごかったです。
やっぱログインのURL変えなきゃダメですね。

今回は攻撃元IPを全て遮断(drop)してみようと思います。

LimitLoginAttemptから一覧取得

お題目つけるほどでもないのですが、管理画面のプラグインページから
IP ID
の組み合わせを全部コピーしてきます。
それをサーバ上に配置したら準備完了です。

[root@metal ~]# vi limitLoginAttempt.txt

awkでコマンド作成

awkコマンドでIPを取得しつつ、firewall-cmdのコマンドを作成していきます。
私実は初めて自分でawk使いました。
便利ですね〜。

[root@metal ~]# cat limitLoginAttempt.txt | awk '{print "firewall-cmd --add-source=" $1 " --permanent --zone=drop"}' > drop_ip.sh

もっとかっこいい書き方があるのかもしれませんが、これで十分。
これにてコマンドが作成できました。
あとはこれをshell scriptにして実行するだけです。

シェルによるIPのdrop

続いて先ほどのファイルをshell scriptにして実行です。

// 先頭に #!/bin/sh を追加
[root@metal ~]# vi drop_ip.sh
[root@metal ~]# chmod 700 drop_ip.sh 
[root@metal ~]# ./drop_ip.sh
[root@metal ~]# firewall-cmd --reload
success
[root@metal ~]# firewall-cmd --list-all --zone=drop

// 後片付け
[root@metal ~]# rm drop_ip.sh limitLoginAttempt.txt 
rm: remove regular file ‘drop_ip.sh’? y
rm: remove regular file ‘limitLoginAttempt.txt’? y

これにて完了です。
しばらくは標準出力としてコンソールにsuccessがたくさんでてきます。
あとは永続指定をしているのでfirewallをリロードしつつ、設定を確認しています。

これで少しは安心できますが、必ずしも固定IPの場所から攻撃されているわけでもないでしょうから巻き添えを食らっている人もいるかもしれません。
でもどうせ韓国とかロシアだろうから、気にしません。

あとがき

昨日なんの気なしに見たら、IDの場所に正しいIDが指定されていて肝が冷えました。
httpsなのになぜバレているんでしょうね。

わりとほんとわからないです。

関連記事

no image

Raspberry Piのpidoraをセットアップ

以前私はRaspberry PiにPidoraを入れたのですが、初期設定をしたつもりになっていてして

記事を読む

no image

個人でのProxyサーバ利用用途

Proxyサーバを建てたいということで、利用用途を考えていました。 まずサイト高速化であったり冗長

記事を読む

no image

RaspberryPi2のFedora22にOpenVPN構築

コツコツと以前購入してoverclockしたraspberry pi2にOpenVPNを構築していま

記事を読む

no image

rsyncでsshの鍵を指定してデータ転送

今回は旧サーバから新サーバへいろいろ移設するために便利なrsyncの設定です。 設定というほどのも

記事を読む

no image

CentOS 7 で ruby on rails 環境構築

気づいたらCentOS7が出てから時間が立っていました。 そろそろ新しく建てるサーバはCentOS

記事を読む

no image

CentOS7にwordpressを移行

前の記事で初期設定を行ったサーバにwordpressを移設します。 wordpressの移設は案外

記事を読む

no image

CentOS7 初期設定

しばらく振りになりますが、ひっそりとWordpressの移設を行っていました。 お仕事が多忙を極め

記事を読む

no image

apache2.4でBOTからのアクセスを排除

私は何か数字が動くものを見るのが好きでgoogle analyticsのリアルタイム情報をよく見てい

記事を読む

no image

Raspbian(jessie)にssh鍵認証で接続

Debianがjessieになって、sshd_configのデフォルトの設定が変わりました。 それ

記事を読む

no image

DDNS(No-IP)をcronで更新

DDNSを利用してzabbix agentを導入できないかと思い、ひとまずDDNSの設定を行いました

記事を読む

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

PAGE TOP ↑