Stránka 1 z 1

Rychlé zjištění a blokcae ip které utočí na linux server

Napsal: pát 26. říj 2018 16:37:50
od RoliD
Detekce a blokaci IP adres nějakým způsobem útočících na server provedeme cca takto:

Kód: Vybrat vše

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Nestatem si vypíšeme setříděný seznam ip adres setříděných podle počtu spojení. Dostaneme nějakou podpobnou tabulku:


Kód: Vybrat vše

      1 66.249.75.27
      1 78.98.240.32
      1 80.251.
      2 46.229.168.153
      2 52.83.219.14
      2 54.83.22.64
      2 80.250.28.104
      2 83.167.245.137
      3 178.255.168.147
      3 46.229.168.139
      3 46.229.168.140
      3 89.24.54.233
      4 220.181.125.138
      4 87.236.194.111
      5 

Kód: Vybrat vše

91.121.145.60      5 41.212.183.31
      6 81.90.173.33
      21 91.121.145.60
      42 91.121.213.22
Z ní vyplývá, že máme nejspíš problém s adresou 91.121.145.60 a 91.121.213.22.
Blokaci provedeme takto

Kód: Vybrat vše

iptables -I INPUT -s 91.121.145.60 -j DROP

Kód: Vybrat vše

iptables -I INPUT -s 

Kód: Vybrat vše

91.121.213.22 -j DROP
Pokud útočí rozsah adres tak blokujeme celý segment:

Kód: Vybrat vše

iptables -I INPUT -s 91.121.145.0/24 -j DROP
Případně si můžeme pomoci blokací ip adresy v .htaccessu:

Kód: Vybrat vše

Order Deny,Allow
Deny from 220.243.135.1
deny from 220.243.136.
Zápis zaplokoval jednu konkrétní ip adresu a jeden celý /.24 rozsah.

Při blokování si důsledně kontrolujme abychom si nezablokovali reálné adresy co web skutečně používají. Hodně si můžeme pomoci zjisštěním z jakého místa světa IP je. Konkrétně IP z ruska nebo číny asi moc na českém webu je dost zvláštní host zvlášť kdy ho zatěžují na 100%.