今天发现我的blog很慢,老是不能访问,进到AWS的后台发现CPU出奇的高,使用top查看显示大部分cpu是httpd进程占用掉了。 像我这样的个人博客,又不是什么知名人士,不会有这么多访问量呀。奇怪。

tail了一下apache的access log,发现有大量的ip不停的访问wp-login.php和wp-cron.php。看样子,是在尝试请举密码呀。怎么会有这么好的闲情雅致啊!

开始我尝试在.htaccess里添加deny纪录,但是效果好像不太明显。而且过来的ip还挺多的。

后来就不停的用tail查找,过来的ip,有新的就加到iptables里去。结果加了一大堆,也不知道有没有误杀的

tail -f /var/log/apache/access-log|grep &quot;wp-login.php&quot;</p>

<p>iptables -A INPUT -s 176.32.73.25,203.87.163.28,114.22.240.134,219.160.191.119,125.198.142.158,112.211.182.193,27.252.29.108,2.133.109.118,125.198.142.158,190.232.183.165 -j DROP</p>

<p>iptables -A INPUT -s 126.43.103.137,190.233.123.206,110.168.69.24,36.70.74.217,95.5.26.102,89.211.208.97,190.43.131.87,114.187.69.123,110.55.3.178,201.238.142.88,190.236.38.134,85.185.253.13,200.232.192.182,190.43.165.126,1.4.253.128,189.191.104.129  -j DROP</p>

<p>iptables -A INPUT -s 42.124.2.225,2.184.240.116,93.63.34.217,114.49.3.214,219.110.148.88,125.60.240.234,112.202.135.117,112.105.4.5,217.219.105.248,91.212.80.170,217.219.165.25,36.238.104.147,120.60.31.149,124.122.70.108 -j DROP</p>

<p>iptables -A INPUT -s 58.213.138.131,186.79.160.147,94.20.163.250,180.190.130.101,119.46.191.21,42.118.159.104,189.154.8.49,124.120.120.85,58.9.136.173,37.218.185.184,187.142.102.138,223.204.212.16,223.205.61.135,58.89.228.59,181.65.55.52,112.204.218.181,180.94.217.91 -j DROP</p>

<p>iptables -A INPUT -s 2.146.139.228,94.183.40.67,79.175.182.21,188.34.7.46,93.33.34.215,2.180.82.80,85.119.183.223,184.147.220.2,203.158.26.86,182.52.108.198,80.78.247.92,93.170.50.174,92.114.86.81 -j DROP

iptables里添加了那些规则可以使用iptable -L查看。

如果真的有误杀的,可以通过iptables -D命令取消对应的规则。

iptables -D INPUT -s xx.xxx.xx.xx -j DROP

如果搞乱了,也可以使用iptables -F清空所有规则。

    iptables -F INPUT

关于如何使用iptables,NetTuts上有一篇很好的文章:The Linux Firewall,简要讲解了iptables的管理,还介绍了如何用iptable做NAT。

但是被动的封ip有时候还是太慢,要盯着,不能自动完成。后来就看到了这个在Wordpress里限制密码重试次数的插件:Limit Login Attempts。现在基本上能满足防止暴力破解Wordpress密码的需求了。

看看我的其他文章

    共享到: