Pushdo 바이러스 (또는 유사)에서 오는 것으로 의심되는 내 도메인 중 하나에 대한 잔인한 요청이 아래 로그 조각을 봅니다. 분명히 그것은 임의의 도메인을 선택하여 트래픽을 보내어 명령 노드에 대한 요청을 마스크합니다. 나는 Fail2Ban을 시도했지만 IP는 끊임없이 변하지 않고 50K +를 금지했고 금지는 요청보다 많은 리소스를 사용했다. 나는 HTTP 요청을 처리하기를 바랬다. (SMTP도있다.하지만 그것은 또 다른 질문이다.) 사용자 에이전트를 차단함으로써.iptables가 작동하지 않는 사용자 차단 에이전트
나는
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" -j DROP
를 사용하여 시도하지만이 작동하지 않습니다! 내가 도대체 뭘 잘못하고있는 겁니까? 또한, 이것에 대한 다른 제안 - 그것은 한 달 넘게 계속되어 왔고 나는 머리카락을 꺼내고 있습니다!
OS : CentOS는 6.4
로그인 발췌문 : 아마 아무것도하지 그래서 당신은, 기존의 세트에 규칙을 추가 -A를 사용하고
121.54.54.47 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
125.60.156.224 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
84.108.50.80 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
110.143.55.42 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
122.208.75.75 - - [20/Oct/2013:03:32:37 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
1.2.248.56 - - [20/Oct/2013:03:32:38 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
180.194.171.167 - - [20/Oct/2013:03:32:38 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
190.200.59.125 - - [20/Oct/2013:03:32:39 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
223.197.238.249 - - [20/Oct/2013:03:32:40 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
200.121.4.163 - - [20/Oct/2013:03:32:39 +0100] "POST/HTTP/1.1" 200 14772 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"