¿Cómo puedo bloquear permanentemente cualquier dirección IP que acceda a páginas vulnerables conocidas /phpMyadmin/
? Estoy ejecutando un servidor Debian y a menudo veo bots o hackers escaneando mi servidor tratando de encontrar vulnerabilidades.
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpMyadmin/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpMyAdmin/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpmyAdmin/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpmyadmin2/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpmyadmin3/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
73.199.136.112 - - [16/Oct/2017:05:18:05 -0700] "HEAD /phpmyadmin4/ HTTP/1.0" 404 182 "-" "Mozilla/5.0 Jorgee"
Ya he seguido esta pregunta de stackoverflow: Cómo asegurar phpMyAdmin .
Estoy buscando comenzar a bloquear los bots para que no ocupen el ancho de banda.
404
significa el código HTTPPage not found
. ¿Cómo siente que estas IP están ofendiendo IP? ¿De acuerdo con qué salida decide bloquear estas IP?.htpasswd
Respuestas:
Esto puede ser más pesado de lo que está buscando, pero puede considerar usar fail2ban ( https://www.fail2ban.org ). Esa es una herramienta que puede monitorear sus archivos de registro y prohibir automáticamente las direcciones que generan registros que coinciden con un conjunto de patrones personalizables.
fuente
fail2ban
está diseñado para abordar. Es un poco pesado, pero de nuevo el criterio deseado es bastante dinámico en sí mismo. Todas las cosas consideradasfail2ban
son tan livianas como las que obtendrás al tratar de resolver esta clase de problemas usando una herramienta estándar.No lo hagas En el mejor de los casos, no logrará nada más que hacer que sus registros estén menos abarrotados; en el peor de los casos, terminará bloqueando a los visitantes legítimos que obtuvieron (a través de DHCP) una dirección IP que solía pertenecer a alguien cuya PC estaba infectada como un nodo de botnet.
El verdadero problema aquí es el desorden de registros, y se puede resolver simplemente configurando su registro para eliminar las solicitudes que se conocen como análisis de vuln para vulns que su sitio no tiene, y no tendrá, porque no está utilizando los vulnerables marcos que están buscando. Si le preocupa la pérdida completa del registro (tal vez brinden evidencia que sugiera quién fue responsable de un ataque diferente, o cuándo comenzó un ataque, etc.), entonces simplemente estrangulando múltiples entradas de registro para URL basura de una IP determinada en un corto período de tiempo Debería funcionar mejor.
fuente
fail2ban
las prohibiciones son temporales: X golpes de un mal intento de inicio de sesión en Y segundos, Z minutos de bloqueo, con XY y Z configurables. Dejar caer registros de intentos de intrusión activa me parece una opción significativamente más peligrosa./phymyadmin/
porque/phymyadmin/
no existe en el servidor (ver: 404). Por el contrario, los usuarios legítimos en cuestión son los usuarios del sitio que serían bloqueados por firewalls.busque el
deny 73.199.136.112
archivo phpMyAdmin.conf en uno de los directorios de configuración httpd y agregue la sección permitir / denegar del archivo de configuración y una IP requerida en la sección 2.4. Puse un ejemplo del archivo de configuración completo a continuación, donde tengo las entradas a la inversa, bloqueo todo menos los segmentos IP permitidos para acceder a la herramienta.fuente
Alias /phpmyadmin /usr/share/phpMyAdmind
/phpmyadmin
debe cambiarse a otra cosa por motivos de seguridad.Alias /secret /usr/share/phpMyAdmind