防 Joomla 后台被暴力猜解
今天朋友吐糟,最近他的 Joomla 后台老被境外的 IP 暴力破解密码,烦不胜烦,特别是他们并非一秒钟几十次猜解,而是几秒钟猜解一次,结果就是 logs/error.php 日志大小成上升态势。
拿到 error.php 文件
……
2013-07-17 16:47:54 INFO 213.203.234.132 Joomla FAILURE: Username and password do not match or you do not have an account yet.
2013-07-17 16:47:57 INFO 213.203.234.132 Joomla FAILURE: Username and password do not match or you do not have an account yet.
2013-07-17 16:48:00 INFO 213.203.234.132 Joomla FAILURE: Username and password do not match or you do not have an account yet.
2013-07-17 16:48:03 INFO 213.203.234.132 Joomla FAILURE: Username and password do not match or you do not have an account yet.
……
仔细看了下,确实是几秒一次猜解,文档很大,IP 基本每分钟就变换下,传统的 netstat 统计 IP 再屏蔽方式已经不适用,考虑到 Joomla 平台 本身就有 logs 系统,为何不就对 error.php 动一些脑筋呢
思路明确了,那么就开始,awk 取第四个字段,统计排序,取次数大于 4 的 IP 加入到 iptables 中加以屏蔽,配合 Linux 系统计划任务,每 5 分钟执行一次
/etc/init.d/iptables restart; [[ -f /tmp/block ]] && rm /tmp/block; awk '{print $4}' /var/www/YOURPATH/error.php | sort | uniq -c | sort -r | awk '($1>4) {print $2}' >> /tmp/block; for i in `awk '{print $1}' /tmp/block`;do iptables -I INPUT -p tcp -s $i -j DROP; done; rm /tmp/block; echo "" > /var/www/YOURPATH/error.php
可读性不强,整理下
#!/bin/bash
# 重启 iptables,系统路径可能有所不同
/etc/init.d/iptables restart
[[ -f /tmp/block ]] && rm /tmp/block
# 取 error.php 第四个字段,排序后,打印序号大于 4 的行到 /tmp/black
awk '{print $4}' /var/www/YOURPATH/error.php | sort | uniq -c | sort -r \
| awk '($1>4) {print $2}' >> /tmp/block
# for 循环加入 ip 到 iptables
for i in `awk '{print $1}' /tmp/block`; do
iptables -I INPUT -p tcp -s $i -j DROP
done
# 一些清理工作
rm /tmp/block
echo "" > /var/www/YOURPATH/error.php
存为 block 文件,加上执行权限 chmod +x block。
放入计划任务中,编辑 /etc/crontab,在最后加上:
*/5 * * * * root sh /YOURPATH/block
每5分钟 4 次的后台猜解,条件已经设定的很低了,如果自己遗忘密码,那么等 5 分钟后再登录吧。
肯定还有不完善的地方,给了朋友后同时嘱咐下后面改进改进,一些特殊情况再加一些条件做判断吧,大体不会出问题的了。这里我们抛弃了传统的 netstat,转而采用平台本身的日志来进行 iptables 屏蔽操作。