LINUX.ORG.RU

wordpress атака

 


0

3

Сегодня заметил что ложится сайт стоящий за CF. В логах увидел что летит «WordPress», запилил правило -A PREROUTING -p tcp -m string --string «WordPress» --algo kmp --to 65535 -j DROP трафик начало дропать этот, но всеравно падает nginx, даже по прямому входу на ip не работал сайт. Как понять это, ведь трафик до nginx не доходит же


Угу, а коннект кто дропать будет? tcp-syn уже прошли, соединение установлено, а ты просто данные не пропускаешь.

Хорошо бы контрек отметить, сделать не DROP а REJECT --reject-with tcp-reset. И на любой пакет в отмеченном контреке делать тоже самое.

vel ★★★★★
()
Ответ на: комментарий от vel

смотрю дамп, трафик от легитивного не отличается, фиг его как отсеять его до установки соединения. Может с лимитами в nginx повозиться?

User01
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.