WordPress 뚫어보겠다 출석췍하는 기생충들 박멸하는 씸쁠 방화벽

오늘도 이 허접한 워드프레스 뚫어보겠다 시도하는 기생충이들.. 여러 국가에서 지겹게도 성실하시다. 그나마 GeoIP로 막아서 이 정도..  Static Website 쓰지않고 나 처럼 워드프레스로 블로그 돌리는 가장 걸림돌은 뚫어보겠다 기웃거리는 기생충이들이다.

 

Raspberry Pi에서 블로그를 돌리고 있는데 RPi 3으로 몇년 째 버티는 중.  1년 정도는 EC2 Instance에서 돌리다가 무료 사용기간이 끝나서 다시 쳐박아 뒀던 RPi3 에 Buster를 설치해서 돌아왔다.

다시 설치한 후에 가장 먼저 해야할 방화벽 기능은 ufw 를 사용해서 편히 지낼 수 있으려나 했더니, 뜻대로 잘 안되더라. 걍 적용이 안된다.  뭔가 내가 제대로 설정을 안한듯.  어차피 포트야 열린게 80/443 밖에 없으니 nginx 로그를 통해 검사 후, 원격 IP 자체를 DROP 시키는 방식을 사용중이다.  스크립트들은 혹이라도 나중에 또 설정할 때 필요할테니 여기다 올려둠.

 

cd /var/log/nginx
tail -f -n0 wp-error.log | /root/bin/watching-and-block.sh
 
watching-and-block.sh

#!/bin/bash
while read line
do
  attack_type=$(echo "$line" | /root/bin/search-for.sh)
  if [[ $? ]]; then
    ip_addr=$(echo "$line" | awk -F'client: ' '{print $2}' | awk -F',' '{print $1}')
    echo "${attack_type}: $ip_addr"
    /root/bin/block-ip-addr.sh $ip_addr
  fi
done <"${1:-/dev/stdin}"

 

block-ip-addr.sh

#!/bin/bash
IP=${1:-no_ip_addr}
# 차단된 IP를 모아서 포인트적립
BLOCK_LIST_FILE=/root/ip-blocked.list

# 내 네트워크를 제외하는 거 잊지 말자
if [[ "$IP" == "no_ip_addr" ]] || [[ "$IP" == "서버 IP" ]] || [[ "$IP" =~ "내부 네트워크" ]] || [[ "$IP" =~ "VPN 네트워크" ]]; then
  exit 0
fi

touch ${BLOCK_LIST_FILE}; grep $IP ${BLOCK_LIST_FILE}

# iptables -C 명령은 왜 동작하지 않는걸까.. 최신판 buster 라면서..
if [[ $? -ne 0 ]]; then
  echo "block $IP"
  iptables -A INPUT -s ${IP} -j DROP
  echo $IP >> ${BLOCK_LIST_FILE}
else
  echo "already in block list"
fi

 

search-for.sh

#!/bin/bash

# 대표적인 패턴 몇개..
declare -a rules=(\
    "Primary script unknown:script attck" \
    "access forbidden by rule:dotfile attack" \
    "cgi-bin:cgi-bin seeker" \
 )

# 하나라도 매칭되면 싱고~
while read pattern; do
  for rule in "${rules[@]}"; do
    IFS=':'; read -a token <<< "$rule"; unset IFS
    if [[ $pattern =~ "${token[0]}" ]]; then
      echo "${token[1]}"
      exit 0
    fi
  done;
done < "${1:-/dev/stdin}"
exit 255