Có thể phục vụ các trang cụ thể dựa trên địa chỉ IP không?

Tôi đã trở thành mục tiêu của một cuộc tấn công vũ phu vào hai trang web WordPress mà tôi sở hữu. Kẻ tấn công đang sử dụng thứ XML-RPC cũ để khuếch đại tấn công mật khẩu vũ phu. May mắn thay, chúng tôi có mật khẩu được tạo rất tốt, vì vậy tôi rất nghi ngờ anh ấy sẽ nhận được bất cứ nơi nào.

Tôi vừa sử dụng iptables để chặn yêu cầu của anh ấy mỗi khi anh ấy bật lên lại (luôn từ cùng một nhà cung cấp đám mây ảo), nhưng tôi muốn sửa đổi máy chủ để mỗi khi địa chỉ IP của anh ấy yêu cầu bất kỳ trang nào , anh ấy sẽ nhận được phản hồi cho anh ấy biết để có được một cuộc sống. Hầu hết các yêu cầu là POST, vì vậy tôi lý tưởng nhất là muốn sửa đổi tiêu đề phản hồi để bao gồm một cái gì đó như "Chúc may mắn hơn vào lần tới!" hoặc một cái gì đó thỏa mãn như nhau.

Điều này có thể không? Tôi là một chuyên gia về Apache, vì vậy tôi không chắc việc này sẽ khó thực hiện đến mức nào. Nhưng ngay cả khi tôi phải mất hàng giờ, sự hài lòng sẽ là vô giá.

Để tham khảo, tôi đang chạy Ubuntu 16.04.2 LTS, với Apache 2.4.18 lưu trữ Wordpress 4.7.3.

Chỉ cần cài đặt fail2ban với nhà tù thích hợp và được thực hiện với nó. Đừng bận tâm để đưa ra một phản ứng tùy chỉnh, vì rất có thể nó sẽ không bao giờ được nhìn thấy.

Có một khả năng, và chúng tôi đã làm điều đó khá nhiều, để đảo ngược các cuộc tấn công có thể. Sử dụng iptables để chuyển hướng nhà cung cấp đám mây (phạm vi địa chỉ) sang một cổng khác - và ở đó phục vụ kẻ tấn công phản hồi, ngay cả trong các tiêu đề đơn giản.

Trong Apache, bạn có thể sửa đổi các tiêu đề bằng ví dụ:

Header set GetOut "Better luck next time!"

Điều này rất dễ dàng với ModSecurity, đây là mô-đun WAF của bên thứ ba dành cho Apache. Mặc dù nó liên quan đến việc học cú pháp ngôn ngữ quy tắc của nó.

Bạn cũng có thể sử dụng ModSecurity để chỉ hủy kết nối thay vì trả lời.

Nói rằng, cài đặt ModSecurity chỉ cho việc này, khi, như những người khác đã đề xuất, có khả năng các phản hồi sẽ bị bỏ qua có thể là quá mức cần thiết.

Tôi sẽ đi với fail2ban và bỏ yêu cầu từ các địa điểm lạm dụng đã biết. Và nếu bạn cảm thấy rằng nhà cung cấp dịch vụ của kẻ tấn công không có lỗi, hãy báo cáo các cuộc tấn công đến địa chỉ email lạm dụng của họ.

Nếu bạn muốn dành thời gian để làm một cái gì đó sẽ làm chậm kẻ tấn công, bạn có thể muốn thử làm một cái bạt . Đầu tiên bạn phải biết các cuộc tấn công đến từ đâu. Sau đó, bạn có thể sử dụng apache để chuyển hướng yêu cầu từ ip (phạm vi?) Đến một tập lệnh cụ thể. Điều này có thể làm điều khó khăn mặc dù tôi đã không thử nó. Sau đó, chỉ cần thực hiện một tập lệnh, ví dụ, in ra một dấu chấm (hoặc một cái gì đó từ / dev / null) cứ sau 15 giây để giữ cho kết nối của kẻ tấn công mở vô thời hạn.

Vì kẻ tấn công rất có thể sử dụng các tập lệnh để tấn công trang web của bạn, nên có thể mất thời gian để nhận thấy rằng các cuộc tấn công đã bị đình trệ, vì các kết nối dường như đang hoạt động, sẽ không có thời gian chờ và yêu cầu không bị từ chối ngay tại chỗ.

Vấn đề là bạn dành thời gian và tài nguyên của mình cho một thứ có lẽ sẽ không hữu ích như mối quan tâm quan trọng hơn: bảo mật thông tin đăng nhập của bạn. Thật khó để tấn công khi bạn không biết nơi nào để tấn công. Hãy xem xét một số điều sau đây:

• hạn chế quyền truy cập vào trang đăng nhập (chỉ phạm vi intranet? ip của bạn? vpn? khác?).
• thêm reCaptcha hoặc câu hỏi xác minh khác để đăng nhập.
• sử dụng xác thực đa yếu tố .
• ẩn trang đăng nhập của bạn. Nếu có thể, đừng liên kết với nó từ trang chính của bạn và không sử dụng / đăng nhập hoặc vị trí rõ ràng khác.