Rychlé zjištění a blokcae ip které utočí na linux server
Napsal: pát 26. říj 2018 16:37:50
Detekce a blokaci IP adres nějakým způsobem útočících na server provedeme cca takto:
Nestatem si vypíšeme setříděný seznam ip adres setříděných podle počtu spojení. Dostaneme nějakou podpobnou tabulku:
Z ní vyplývá, že máme nejspíš problém s adresou 91.121.145.60 a 91.121.213.22.
Blokaci provedeme takto
Pokud útočí rozsah adres tak blokujeme celý segment:
Případně si můžeme pomoci blokací ip adresy v .htaccessu:
Zápis zaplokoval jednu konkrétní ip adresu a jeden celý /.24 rozsah.
Při blokování si důsledně kontrolujme abychom si nezablokovali reálné adresy co web skutečně používají. Hodně si můžeme pomoci zjisštěním z jakého místa světa IP je. Konkrétně IP z ruska nebo číny asi moc na českém webu je dost zvláštní host zvlášť kdy ho zatěžují na 100%.
Kód: Vybrat vše
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Kód: Vybrat vše
1 66.249.75.27
1 78.98.240.32
1 80.251.
2 46.229.168.153
2 52.83.219.14
2 54.83.22.64
2 80.250.28.104
2 83.167.245.137
3 178.255.168.147
3 46.229.168.139
3 46.229.168.140
3 89.24.54.233
4 220.181.125.138
4 87.236.194.111
5
Kód: Vybrat vše
91.121.145.60 5 41.212.183.31
6 81.90.173.33
21 91.121.145.60
42 91.121.213.22
Blokaci provedeme takto
Kód: Vybrat vše
iptables -I INPUT -s 91.121.145.60 -j DROP
Kód: Vybrat vše
iptables -I INPUT -s
Kód: Vybrat vše
91.121.213.22 -j DROP
Kód: Vybrat vše
iptables -I INPUT -s 91.121.145.0/24 -j DROP
Kód: Vybrat vše
Order Deny,Allow
Deny from 220.243.135.1
deny from 220.243.136.
Při blokování si důsledně kontrolujme abychom si nezablokovali reálné adresy co web skutečně používají. Hodně si můžeme pomoci zjisštěním z jakého místa světa IP je. Konkrétně IP z ruska nebo číny asi moc na českém webu je dost zvláštní host zvlášť kdy ho zatěžují na 100%.