';

Olá pessoal,

Hoje fui olhar um dos meus servidores antigos e ao olhar os arquivos de log me deparei com as seguinte mensagens (*.access.log):

Vi também muitas requisições no *error.log, e então comecei a pesquisar sobre o assunto.

Pelo que parece, se trata de um ataque de força bruta (brute force) onde scripts tentam descobrir o usuario e senha através do arquivo xmlrpc.php do WordPress.

Vi algumas soluções e tal, mas a que me pareceu mais plausível, foi bloquear o acesso usando o firewall.

A solução apresentada abaixo foi usada e testada em um servidor rodando Ubuntu 16.04.1 LTS (xenial)

Descubra o ip que você quer bloquear e faça o seguinte comando:

sudo ufw insert 1 deny from xx.xx.xx.xx to any

em seguida, recarrege as regras usando:

sudo ufw reload

E pronto, aquele IP será bloqueado pelo firewall.

Caso queira remover a regra você pode proceder da seguinte forma:

Usando o comando sudo ufw status numbered você tera uma lista numerada das regras do firewall, em seguida remova a regra que desejar utilizando sudo ufw delete [numero da regra escolhida] e pra finalizar recarreque as regras com sudo ufw reload.

Lembrem-se de sempre verificar seus arquivos de log para ver se está tudo OK =) #ficaADica

Uma observação final que eu quero deixar é que as regras são aplicadas de acordo com sua ordem na lista, por isso a regra de bloquear o IP do spammer é colocada como primeira da lista.

Para saber mais…

Se você gostou desse post, compartilhe com seus amigos, ajude a espalhar conhecimento!
Não se esqueça de nos serguir nas redes sociais, por que você não pode ficar de fora!

  1. Curta nossa página no facebook
  2. Não perca as atualizações no twitter
  3. Veja as dicas no instagram
  4. Siga nossos repositórios no github
  5. Faça parte da nossa lista de desenvolvedores

0 Comments

Leave a Reply

Avatar placeholder

Your email address will not be published. Required fields are marked *