我正在管理一个小型共享托管服务器。今天我收到了托管服务提供商的投诉,称我的服务器正在向其他网站的 wp-login.php 页面发送请求。我实施了防火墙规则
/sbin/iptables -I OUTPUT -p tcp --dport 80 -m string --string "wp-login.php" --algo kmp -j REJECT --reject-with tcp-reset
我测试后发现,从我的服务器无法向 发送请求http://testsite.com/wp-login.php。这很好,它按预期工作。
但是,我还是收到了关于这个问题的进一步投诉,所以我猜想有恶意用户正在使用 HTTPS 攻击目标网站的 wp-login.php。我实施了以下规则,但它不起作用
/sbin/iptables -I OUTPUT -p tcp --dport 443 -m string --string "wp-login.php" --algo kmp -j REJECT --reject-with tcp-reset
我明白,因为通过 HTTPS 的 URL 是加密的,所以这种方法不起作用。
我想问我该如何解决这个问题以防止/阻止/识别罪魁祸首?
提前致谢!
答案1
为网络用户删除 OUTPUT
iptables -A OUTPUT -m owner --gid-owner web-users -j DROP
安装透明本地代理。阻止那里的流量。