Назад | Перейти на главную страницу

Стоит ли блокировать вредоносные сканеры через iptables?

Я периодически проверяю журналы своего сервера и замечаю, что многие сканеры ищут местоположение phpmyadmin, zencart, roundcube, разделов администратора и других конфиденциальных данных. Кроме того, существуют сканеры под названием «Morfeus Fucking Scanner» или «Morfeus Strikes Again», которые ищут уязвимости в моих сценариях PHP и сканеры, которые выполняют странные (XSS?) Запросы GET, такие как:

GET /static/)self.html(selector?jQuery(
GET /static/]||!jQuery.support.htmlSerialize&&[1,
GET /static/);display=elem.css(
GET /static/.*.
GET /static/);jQuery.removeData(elem,

До сих пор я всегда сохранял эти IP-адреса вручную, чтобы заблокировать их с помощью iptables. Но поскольку эти запросы выполняются только максимальное количество раз с одного и того же IP-адреса, я сомневаюсь, что он обеспечивает какое-либо преимущество в безопасности, связанное с их блокировкой.

Я хотел бы знать, приносит ли кому-нибудь пользу блокировка этих поисковых роботов в брандмауэре, и если да, есть ли (не слишком сложный) способ сделать это автоматически. И если это потрачено впустую, возможно, потому, что эти запросы приходят через некоторое время с новых IP-адресов, если кто-нибудь может уточнить это и, возможно, предложить более эффективные способы запрета / ограничения доступа злонамеренного сканера.

К вашему сведению: я тоже уже блокирую w00tw00t.at.ISC.SANS.DFind:) сканирует, следуя этим инструкциям: http://spamcleaner.org/en/misc/w00tw00t.html

Мы используем аппаратные межсетевые экраны Cisco, а не серверные программные, и они отслеживают закономерности активности и блокируют их на длительное время (30-90 дней iirc). Я уверен, что другие брандмауэры могут это сделать, но у них нет опыта. В основном я говорю о том, что если ваш брандмауэр может использовать правила для поиска злоупотреблений, вы увидите преимущество перед простой блокировкой известных виновников.

Если стоит спорно, и я не знаю.

Что касается вашей жалобы на то, что они поступают с разных IP-адресов, и вы можете отреагировать только путем блокировки ip ... Вы можете исправить это с помощью обратного прокси, такого как Apache в режиме обратного прокси (с чем-то вроде mod_proxy / mod_security) или HAProxy . В принципе, если вы знаете шаблоны заранее, вы можете просто отбросить эти запросы, прежде чем они попадут на веб-сервер.

Кроме того, немного слов, эти межсетевые экраны называются межсетевыми экранами веб-приложений (WAF). Они работают на уровне 7, исследуя HTTP-запросы и ответы.

вы всегда можете взять некоторые из строк / GET, которые вы найдете, и, поскольку у вас уже есть строковый модуль для iptables, записать / отбросить эти пакеты и, возможно, автоматизировать их добавление в брандмауэр с помощью сценария.

в общем, я бы сказал, что вы можете заблокировать эти IP-адреса, потому что они могли быть скомпрометированы тем или иным образом, и если они были скомпрометированы, и вы поймали одну атаку, вы можете упустить другую.