IP 주소를 기반으로 특정 페이지를 제공 할 수 있습니까?

나는 내가 소유 한 2 개의 워드 프레스 사이트에 대한 무차별 대입 공격의 대상이었다. 공격자는 오래된 XML-RPC를 사용하여 무차별 암호 공격을 증폭시키고 있습니다. 운 좋게도 잘 생성 된 암호를 가지고 있기 때문에 그가 어디에서나 얻을 수있을 것입니다.

나는 단지 그가 (항상 같은 가상 클라우드 공급자) 다시 나올 때마다 그의 요청을 차단하기 위해 iptables를 사용 해왔다,하지만 난 차라리 그렇게 자신의 IP 주소를 요청할 때마다하는 서버를 수정하는 것입니다 어떤 페이지를, 그가 그에게 말하고 응답을 얻는다 인생을 얻을 수 있습니다. 대부분의 요청은 POST이므로 "다음 번에 더 나은 행운"을 포함하도록 응답 헤더를 수정하는 것이 이상적입니다. 또는 똑같이 만족하는 것.

이것이 가능한가? 나는 아파치 전문가와는 거리가 멀기 때문에 이것이 구현하기가 얼마나 어려운지 확신하지 못한다. 그러나 시간이 걸리더라도 만족할만한 가치는 없을 것입니다.

참고로 Wordpress 4.7.3을 호스팅하는 Apache 2.4.18과 함께 Ubuntu 16.04.2 LTS를 실행하고 있습니다.

적절한 감옥에 fail2ban 을 설치 하고 완료하십시오. 결코 보이지 않을 가능성이 높기 때문에 사용자 정의 응답을 주저하지 마십시오.

가능한 공격이 있으며, 가능한 공격을 취소하기 위해 많은 노력을 기울였습니다. iptables를 사용하여 클라우드 공급자 (주소 범위)를 다른 포트로 리디렉션하고 일반 헤더에서도 공격자에게 응답을 제공합니다.

Apache에서는 예를 들어 헤더를 수정할 수 있습니다.

Header set GetOut "Better luck next time!"

Apache 용 타사 WAF 모듈 인 ModSecurity를 ​​사용하면 매우 쉽습니다. 규칙 언어 구문을 배우는 것이 포함되지만.

ModSecurity를 ​​사용하여 전혀 응답하지 않고 연결을 끊을 수도 있습니다.

다른 사람들이 제안했듯이 ModSecurity를 ​​설치하면 응답이 무시 될 수 있습니다.

fail2ban을 사용하여 알려진 남용 위치에서 요청을 삭제합니다. 공격자의 서비스 제공 업체가 책임을지지 않는다고 생각되면 공격을 악용 이메일 주소로보고하십시오.

공격자가 느려질 수있는 무언가를 만드는 데 시간을 보내고 싶다면 타르 핏을 만들어보십시오 . 먼저 공격의 출처를 알아야합니다. 그런 다음 아파치를 사용하여 요청을 ip (범위?)에서 특정 스크립트로 리디렉션 할 수 있습니다. 이것은 내가 그것을 자신을 시도하지 않은 있지만 트릭을 할 수 있습니다. 그런 다음 15 초마다 점 (또는 / dev / null에서 무언가)을 인쇄하여 공격자의 연결을 무한정 열린 상태로 유지하는 스크립트를 구현하십시오.

공격자는 스크립트를 사용하여 사이트를 공격 할 가능성이 높기 때문에 연결이 모두 활성화 된 것처럼 보이기 때문에 시간이 초과되지 않고 요청이 즉시 거부되지 않습니다.

문제는 더 중요한 관심사 인 로그인 보안과 같이 도움이되지 않는 시간과 리소스를 투자하는 것입니다. 공격 할 위치를 모르면 공격하기가 어렵습니다. 다음 중 일부를 고려하십시오.

• 로그인 페이지에 대한 액세스를 제한하십시오 (인트라넷? ip 범위? vpn? 기타?).
• reCaptcha 또는 기타 확인 질문을 추가 하여 로그인하십시오.
• 사용하는 다중 요소 인증을 .
• 로그인 페이지를 숨기십시오. 가능하면 메인 페이지에서 링크하지 말고 / login 또는 다른 명백한 위치를 사용하지 마십시오.