Einzelne IP blocken – WordPress Benutzer die beispielsweise das Sucuri Sicherheits Plugin nutzen kennen die Situation genauso wie viele andere Serveradministratoren. Häufig gibt es Angriffe bei denen versucht wird der Server oder eine CMS Software wie WordPress auf dem Server mit Passwörtern durchzutesten. innerhalb von Sekunden prasseln Tausende Anfragen rein. Auch wenn es nicht sicherheitsrelevant wirklich gefährlich wird, so leidet doch die Performance des Servers darunter. Daher empfiehlt es sich zuweilen den Angreifer vom Server auszusperren.
Wer sich mit seiner Firewall auskennt oder sogar eine Firewall Router seitig beim Provider ansteuern kann, sollte die ihm vertrauten Mittel verwenden die einzelne IP zu sperren.
Bitte Vorsicht: Unerfahrene Benutzer die eine eigene(!) IP mit IP TABLES DROP per SSH sperren, laufen Gefahr sich vom Server auszusperren!
Einzelne IP vom Server aussperren
Wer Zugriff auf seine Linux Shell hat, kann dies auf niedriger Ebene auch direkt tun:
Im Beispiel wird die IP 99.99.99.99 gesperrt. # iptables -I INPUT -s 99.99.99.99 -j DROP
iptables -I INPUT -s 99.99.99.99 -j DROP
Mitunter ächzen die Webserver unter den ständigen Zugriffsversuchen schwer. Jeder Zugriff öffnet ein Thread beim Server (bspw. Apache oder nginx) und verbaucht damit Speicher des Servers. Zudem die Anzahl gleichzeitig zu öffnender Threads in der Regel limitiert. Schlimmstenfalls wirkt so eine Brute Force Attacke wie ein DoS (Denial-of-Service) und der Webserver kann nicht mehr auf reguläre Anfragen von echten Menschen antworten. Die Website ist nicht mehr zu öffnen oder “down” wie umgangssprachlich häufig gesagt wird.
Einzelne IP blocken & geblockte Zugriffe in Log protokollieren
Wer erstmal eine IP rausgeblockt hat und dann zu einer Analyse übergehen möchte, kann dies nun auch in Ruhe tun. Dazu einfach mit protokollieren was der Angreifer tut. Dazu kann der folgende Befehl verwendet werden. # iptables -i eth1 -A INPUT -s 99.99.99.99 -j LOG –log-prefix „IP DROP SPOOF A:“
iptables -i eth1 -A INPUT -s 99.99.99.99 -j LOG --log-prefix "IP DROP SPOOF A:"
Geblockte IP’s ansehen
Mit dem folgendem Befehl kann man kontrollieren, welche IP’s aktuell geblockt werden: # iptables -L -v
iptables -L -v
Nach bestimmter IP bei geblockten IP suchen
Mit dem Befehl grep kann man den vorab genannten Befehl erweitern und geziel nach einer IP suchen. Hier wieder als Beispiel die 99.99.99.99. # iptables -L INPUT -v -n | grep 99.99.99.99
iptables -L INPUT -v -n | grep 99.99.99.99
Einzelne IP wieder entblocken
Wenn man eine IP wieder zulassen will die man zuvor geblockt hat, hilft einem der folgende Befehl weiter. # iptables -D INPUT -s 99.99.99.99 -j DROP
iptables -D INPUT -s 99.99.99.99 -j DROP
Beispiele:
Folgende IP’s blocken 99.99.99.* addresses:
$ sudo iptables -A INPUT -s 99.99.99.0/24 -j DROP
Folgende IP’s blocken 99.99.*.* addresses:
$ sudo iptables -A INPUT -s 99.99.0.0/16 -j DROPFolgende IP’s blocken 99.*.*.* addresses:
$ sudo iptables -A INPUT -s 99.0.0.0/8 -j DROP