Le 7 juin 14 à 14:31, andre_debian@numericable.fr a écrit :
Je vais d'ailleurs le faire moi-même, parce que j'ai plein de requêtes avec cette chaîne : FCKeditor qui doit correspondre à un espace d'administration d'un CMS quelconque et ça correspondrait à de l'exploit.
tu ferais mieux de les laisser accessibles, pour ne pas cramer ton référencement naturel. Mais ce que j'ai réussi à faire n'a rien à voir puisqu'il s'agissait de bannir le pirate en train d'attaquer. Ça l'a stoppé net une première fois, il a changé de serveur et d'IP, mais j'ai pu le remarquer, et recommencer. Il a abandonné cette nuit-là. Ça dure depuis lundi. ===================================================================== # iptables -A INPUT -p tcp --dport 80 -s 72.44.248.136 -j DROP # iptables -A INPUT -p tcp --dport 80 -s 66.23.229.10 -j DROP # iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 80 -s 72.44.248.136 -j DROP # iptables -A INPUT -m state --state RELATED,ESTABLISHED -p tcp --dport 80 -s 66.23.229.10 -j DROP ===================================================================== Dans mes logs, ça donne ça : ===================================================================== 72.44.248.136 - - [06/Jun/2014:00:55:58 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-" 72.44.248.136 - - [06/Jun/2014:00:55:59 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-" 72.44.248.136 - - [06/Jun/2014:00:55:59 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-" 72.44.248.136 - - [06/Jun/2014:00:55:59 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-" 66.23.229.10 - - [06/Jun/2014:00:56:05 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-" 66.23.229.10 - - [06/Jun/2014:00:56:05 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-" 66.23.229.10 - - [06/Jun/2014:00:56:05 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-" 66.23.229.10 - - [06/Jun/2014:00:56:06 +0200] "POST /wp-login.php HTTP/1.0" 403 168 "-" "-" ===================================================================== L'astuce, c'est après avoir rejeté l'IP en INPUT, on la rejette en RELATED,ESTABLISHED également (parce que le bot est connecté). Ça le déconnecte, et il ne peut plus revenir se connecter une nouvelle fois. Enjoy !
|