wordpressのログインパスワードを破ろうとする不正アクセスにはfail2banを使って自動的に1時間のアクセス拒否をするように設定している。まあだいたいそれで間に合うんだけどたまにしつこいのがいたりする。
2016-03-21 01:38:17,380 fail2ban.actions[3718]: WARNING [wordpress-iptables] Ban 130.185.155.74 2016-03-21 02:38:18,340 fail2ban.actions[3718]: WARNING [wordpress-iptables] Unban 130.185.155.74 2016-03-21 02:38:31,622 fail2ban.actions[3718]: WARNING [wordpress-iptables] Ban 130.185.155.74 2016-03-21 03:38:32,555 fail2ban.actions[3718]: WARNING [wordpress-iptables] Unban 130.185.155.74 2016-03-21 23:34:38,830 fail2ban.actions[3718]: WARNING [wordpress-iptables] Ban 130.185.155.74 2016-03-22 00:34:38,838 fail2ban.actions[3718]: WARNING [wordpress-iptables] Unban 130.185.155.74 2016-03-22 00:34:52,128 fail2ban.actions[3718]: WARNING [wordpress-iptables] Ban 130.185.155.74 2016-03-22 01:34:52,241 fail2ban.actions[3718]: WARNING [wordpress-iptables] Unban 130.185.155.74 2016-03-22 08:23:42,516 fail2ban.actions[3718]: WARNING [wordpress-iptables] Ban 130.185.155.74 2016-03-22 09:23:42,588 fail2ban.actions[3718]: WARNING [wordpress-iptables] Unban 130.185.155.74 2016-03-22 09:23:59,825 fail2ban.actions[3718]: WARNING [wordpress-iptables] Ban 130.185.155.74
1時間のbantimeが解けたらすぐにアクセスしてる…ってゆうかbantime中もお構いなしにトライしてると思われ。たぶん乗っ取られてボット化したPCなんだろうなあ。接続元のIPアドレスを「IPひろば」で確認してみるとスウェーデン(ストックホルム)からのアクセスらしい。遠いところからご苦労さまです。でも不正アクセスはお断りデス。対策としてはbantimeを1時間から6時間などに変更する方法もあるケド初犯者にはこれまで通りの1時間のbantime、再犯者には1Weekと長めのbantimeを設定することにした。既にfail2banを運用してるなら設定は簡単。/etc/fail2ban/jail.conf(jail.local)にrecidive(再犯)の項目があってデフォルトではenable=false設定になっているのでここを有効化する。
[recidive] enabled = true filter = recidive logpath = /var/log/fail2ban.log action = iptables-allports[name=recidive] sendmail-whois-lines[name=recidive, logpath=/var/log/fail2ban.log] bantime = 604800 ; 1 week findtime = 86400 ; 1 day maxretry = 5
*1day間に5回banされたIPアドレスは1weekのbanとする。
設定変更後はfail2banの再起動を行う
/etc/rc.d/init.d/fail2ban restart
fail2ban再起動後は/var/log/fail2ban.logに
INFO Jail 'recidive' started
のログが出力されていればOK
