Как я могу навсегда заблокировать любой ipaddress, который обращается к известным уязвимым страницам, таким как /phpMyadmin/
? Я использую сервер Debian и часто вижу, как боты или хакеры сканируют мой сервер, пытаясь найти уязвимости.
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpMyadmin/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpMyAdmin/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpmyAdmin/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpmyadmin2/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpmyadmin3/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpmyadmin4/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
Я уже следил за этим вопросом: как обезопасить phpMyAdmin .
Я хочу начать блокировать ботов от использования полосы пропускания.
404
означает код HTTPPage not found
. Как вы чувствуете, что эти IP-адреса нарушают IP-адреса? На основании какого выхода вы решили заблокировать эти IP?.htpasswd
Ответы:
Это может быть более тяжелый вес, чем вы ищете, но вы можете рассмотреть возможность использования fail2ban ( https://www.fail2ban.org ). Это инструмент, который может отслеживать ваши файлы журналов и автоматически блокировать адреса, которые генерируют журналы, которые соответствуют набору настраиваемых шаблонов.
источник
fail2ban
предназначена для решения. Это немного тяжело, но опять же желаемый критерий сам по себе довольно динамичен. Все рассматриваемые вещиfail2ban
настолько легки, насколько вы можете попытаться решить этот класс проблем с помощью стандартного инструмента.Не. В лучшем случае вы ничего не добьетесь, но сделаете свои журналы менее загроможденными; в худшем случае вы заблокируете законных посетителей, которые случайно (через DHCP) получили IP-адрес, который раньше принадлежал кому-то, чей компьютер был заражен как узел ботнета.
Настоящая проблема здесь - это беспорядок в журналах, и его можно решить, просто настроив ведение журналов так, чтобы отбрасывать запросы, которые, как известно, vuln-scan не проверяет и не будет, потому что вы не используете уязвимый рамки, которые они сканируют. Если вы беспокоитесь о полной потере регистрации (возможно, они предоставляют доказательства того, кто был ответственен за другую атаку, или когда началась атака и т. Д.), То просто за короткое время просто дросселируйте несколько записей журнала для нежелательных URL-адресов с заданного IP-адреса. должно работать лучше.
источник
fail2ban
Запреты являются временными - X попаданий неудачной попытки входа в систему в течение Y секунд, запрет Z минуты, с настраиваемыми XY и Z. Удаление журналов активных попыток вторжения звучит для меня как значительно более опасный выбор./phymyadmin/
потому/phymyadmin/
что не существует на сервере (см .: 404). Скорее, речь идет о любых законных пользователях , которые будут заблокированы брандмауэром.найдите phpMyAdmin.conf в одном из каталогов конфигурации httpd и добавьте
deny 73.199.136.112
в раздел allow / deny файла конфигурации и требуемый IP-адрес в разделе 2.4. Я поместил пример полного конфигурационного файла ниже, где у меня есть записи в обратном порядке, я блокирую все, кроме разрешенных сегментов IP для доступа к инструменту.источник
Alias /phpmyadmin /usr/share/phpMyAdmind
/phpmyadmin
должен быть изменен на что-то другое в целях безопасности.Alias /secret /usr/share/phpMyAdmind