Brute Force Attack

less than 1 minute read

裝了WordPress運行著,無論多麼少人訪問,總會被黑客的肉雞盯上,不知疲倦地重複發送登錄請求,試圖找到弱密碼,從此俘獲一個新肉雞。

偶然查看log,發現大量來自Access Log一個Amsterdam的IP,不斷訪問/wp-login.php,顯然就是在不斷嘗試login。。。

儘管我的密碼不弱,但這樣任由它不斷嘗試也是件令人不安的事。WP的插件BruteProtect實際也沒有發生什麼功效,至少它不能在網絡的層次將它封殺。

於是寫了個script,定時運行一下,如果最近的access log裡面有異常多的同一IP嘗試login,就封它24小時。

#!/bin/bash
cd /home/pi/firewall
zombieList=`tail -1000 /var/log/apache2/access.log | grep wp-login.php | grep ” 500 ” | awk ‘{print $1}’ | sort | uniq -c | awk ‘$1>100{print $2}’`
for ip in $zombieList
do
grep $ip blocked_ip_list
if [ “$?” = “1” ]
then
echo “$ip” » blocked_ip_list
fi
done

Firewall設置改變的時候,還順帶發個通知到我手機吧。

Pushover

Categories: Uncategorized

Updated: