';

Olá pessoal,

Hoje fui olhar um dos meus servidores antigos e ao olhar os arquivos de log me deparei com as seguinte mensagens (*.access.log):

Vi também muitas requisições no *error.log, e então comecei a pesquisar sobre o assunto.

Pelo que parece, se trata de um ataque de força bruta (brute force) onde scripts tentam descobrir o usuario e senha através do arquivo xmlrpc.php do WordPress.

Vi algumas soluções e tal, mas a que me pareceu mais plausível, foi bloquear o acesso usando o firewall.

A solução apresentada abaixo foi usada e testada em um servidor rodando Ubuntu 16.04.1 LTS (xenial)

Descubra o ip que você quer bloquear e faça o seguinte comando:

sudo ufw insert 1 deny from xx.xx.xx.xx to any

em seguida, recarrege as regras usando:

sudo ufw reload

E pronto, aquele IP será bloqueado pelo firewall.

Caso queira remover a regra você pode proceder da seguinte forma:

Usando o comando sudo ufw status numbered você tera uma lista numerada das regras do firewall, em seguida remova a regra que desejar utilizando sudo ufw delete [numero da regra escolhida] e pra finalizar recarreque as regras com sudo ufw reload.

Lembrem-se de sempre verificar seus arquivos de log para ver se está tudo OK =) #ficaADica

Uma observação final que eu quero deixar é que as regras são aplicadas de acordo com sua ordem na lista, por isso a regra de bloquear o IP do spammer é colocada como primeira da lista.

Para saber mais…

Se você gostou desse post, compartilhe com seus amigos, ajude a espalhar conhecimento!
Não se esqueça de nos serguir nas redes sociais, por que você não pode ficar de fora!

  1. Curta nossa página no facebook
  2. Não perca as atualizações no twitter
  3. Veja as dicas no instagram
  4. Siga nossos repositórios no github
  5. Faça parte da nossa lista de desenvolvedores

@emersonbroga

Formado em Desenvolvimento de Sistemas pela Faculdade Pitágoras e pós-graduado em Gestão Estratégica de Marketing pela PUC Minas trabalhei em diversas agências e atualmente trabalho em projetos internacionais como FOX.com, FXNetworks.com, NatGeo.com entre outros.