是否可以根据IP地址投放特定页面？

我一直是对我拥有的两个WordPress网站进行暴力攻击的目标。攻击者正在使用老式的XML-RPC来放大暴力密码攻击。幸运的是，我们有非常好的密码生成，所以我非常怀疑他会不会得到任何保护。

每当他再次弹出（总是从同一个虚拟云提供商）时，我就一直使用iptables阻止他的请求，但是我宁愿修改服务器，以便每当他的IP地址请求任何页面时，他都会得到一个响应，告诉他获得生命。大多数请求都是POST，因此理想情况下，我只想修改响应标头，使其包含“下次更好运！”之类的内容。或同样令人满意的东西。

这可能吗？我离Apache专家还很远，所以我不确定这将很难实现。但是即使花了我几个小时，满足感也将是无价的。

作为参考，我正在运行Ubuntu 16.04.2 LTS，Apache 2.4.18托管了Wordpress 4.7.3。

只需使用相应的监狱安装fail2ban并完成它即可。不要费心给出自定义响应，因为它很可能永远不会被看到。

我们有相当大的可能性来扭转可能的攻击。使用iptables将云提供程序（地址范围）重定向到其他端口-即使在普通标头中，也可以为攻击者提供响应。

在Apache中，您可以通过示例修改标头：

Header set GetOut "Better luck next time!"

使用ModSecurity（这是Apache的第三方WAF模块），这非常容易。虽然确实涉及学习其规则语言语法。

您也可以使用ModSecurity删除连接而不是完全响应。

话虽如此，如其他人所建议的那样，仅为此安装ModSecurity，很可能会忽略响应，这可能是过大了。

我会使用fail2ban并丢弃来自已知滥用位置的请求。而且，如果您认为不应归咎于攻击者的服务提供商，请向其滥用电子邮件地址报告攻击。

如果您想花一些时间做一些会使攻击者放慢速度的事情，则可能需要尝试制作tarpit。首先，您当然必须知道攻击的来源。然后，您可以使用apache将请求从ip（范围？）重定向到特定脚本。尽管我自己还没有尝试过，但这也许可以解决问题。然后，只需实施一个脚本，例如，每15秒打印一个点（或/ dev / null中的内容）以使攻击者的连接无限期保持打开状态。

由于攻击者最有可能使用脚本来攻击您的站点，因此可能需要花费一些时间才能注意到攻击已停止，因为所有连接似乎都处于活动状态，因此不会超时，并且不会当场拒绝请求。

问题是您将时间和资源投入到可能不会像更重要的问题那样有帮助的事情：保护登录。当您不知道在哪里攻击时，很难进行攻击。考虑以下一些：

• 限制访问登录页面（仅您的Intranet？ip范围？vpn？其他？）。
• 添加reCaptcha或其他验证问题以登录。
• 使用多因素身份验证。
• 隐藏您的登录页面。如果可能，请不要从您的主页链接到该网站，也不要使用/ login或其他明显的位置。