IPアドレスに基づいて特定のページを提供することは可能ですか？

私は自分が所有する2つのWordPressサイトに対するブルートフォース攻撃の標的にされてきました。攻撃者は古き良きXML-RPCを使用して、ブルートフォースパスワード攻撃を増幅しています。幸い、私たちは非常によく生成されたパスワードを持っているので、彼がこれまでどこにでもアクセスすることはないと思います。

私はiptablesを使用して彼が再びポップアップするたびに（常に同じ仮想クラウドプロバイダーから）要求をブロックしましたが、サーバーを変更して、彼のIPアドレスがページを要求するたびに、彼に応答を返すようにします命を得るために。リクエストのほとんどはPOSTであるため、理想的には、応答ヘッダーを変更して、「次回は幸運を祈る」などの内容を含めるようにします。または同等に満足できる何か。

これは可能ですか？私はApacheの専門家とはほど遠いので、これを実装するのがどれほど難しいかはわかりません。しかし、それが私に数時間かかるとしても、満足は貴重です。

参考までに、私はWordpress 4.7.3をホストするApache 2.4.18でUbuntu 16.04.2 LTSを実行しています。

fail2banを適切なjailと共にインストールして、それで完了です。見られない可能性が最も高いので、カスタムレスポンスを指定する必要はありません。

考えられる攻撃を元に戻す可能性があります。iptablesを使用して、クラウドプロバイダー（アドレス範囲）を別のポートにリダイレクトします。プレーンヘッダーであっても、攻撃者に応答を提供します。

Apacheでは、例によってヘッダーを変更できます。

Header set GetOut "Better luck next time!"

これは、Apache用のサードパーティのWAFモジュールであるModSecurityを使用すると非常に簡単です。ただし、ルール言語の構文を学習する必要があります。

また、ModSecurityを使用して、まったく応答せずに接続をドロップすることもできます。

他の人が示唆しているように、これだけのためにModSecurityをインストールすると、応答が無視される可能性が高いため、やり過ぎになる可能性があります。

私はfail2banを使用し、既知の悪用場所からのリクエストをドロップします。また、攻撃者のサービスプロバイダーのせいではないと思われる場合は、攻撃を悪用メールアドレスに報告してください。

攻撃者の速度を低下させるものを作ることに時間を費やしたい場合は、ターピットを作ってみるとよいでしょう。最初に、もちろん攻撃がどこから来ているのかを知る必要があります。次に、Apacheを使用して、リクエストをip（範囲？）から特定のスクリプトにリダイレクトできます。私自身は試していませんが、これでうまくいくかもしれません。次に、たとえば、15秒ごとにドット（または/ dev / nullの何か）を出力するスクリプトを実装して、攻撃者の接続を無期限に開いたままにします。

攻撃者はスクリプトを使用してサイトを攻撃している可能性が高いため、攻撃が停止していることに気付くまでに時間がかかる場合があります。接続はすべてアクティブに見えるため、タイムアウトは発生せず、リクエストはその場で拒否されません。

問題は、あなたが時間とリソースを、より重要な懸念事項としておそらく役に立たないもの、つまりログインの保護に費やすことです。どこを攻撃すればいいかわからないときは、攻撃するのは難しいです。以下のいくつかを検討してください。

• ログインページへのアクセスを制限します（イントラネットのみですか？IP範囲？vpn？その他？）。
• ログインにreCaptchaまたはその他の確認用の質問を追加します。
• 多要素認証を使用します。
• ログインページを非表示にします。可能であれば、メインページからリンクしないでください。また、/ loginやその他のわかりやすい場所を使用しないでください。