У меня был пользователь, который пытался взломать мой сервер, и на моем сервере появлялось muieblackcat довольно много раз.
Я просто хотел получить совет относительно лучшего способа защиты от этого, то есть должен ли я блокировать пользователя через htaccess или я должен блокировать его через iptables, альтернативно, есть ли лучший способ?
Обратите внимание, что у меня запущен сервер Centos 5.7 64bit.
С любым типом серверов вам определенно нужно многоуровневый подход к безопасности. Например, сохранение системы в полном объеме, наличие минимального контроля доступа и т. Д. Если вы видите, что muieblackcat попадает в ваши журналы, это, скорее всего, просто сканер, поражающий вашу систему в поисках уязвимостей php (Что такое muieblackcat?). Эти типы сканирования будут очень распространены для любого внешнего веб-сервера.
Что касается блокировки этого IP-адреса, я согласен с Адитьей, поскольку iptables лучше, чем htaccess, поскольку iptables блокирует весь трафик с этого IP-адреса. Вы также можете изучить некоторые другие инструменты, такие как fail2ban, которые могут отслеживать файлы журналов, а затем создавать правила блокировки iptable на лету, поскольку он видит определенные удары трафика, такие как слишком много неудачных попыток ввода пароля.
Блокировка через iptables лучше, чем через htaccess. iptables не позволит хакеру использовать любой другой порт. Он не сможет установить связь. htacces вступит в игру позже. Хакер может использовать любой другой порт / службу, кроме http, если вы блокируете только с помощью htaccess.
iptables -A INPUT -j DROP -p all -s 123.123.123.123
iptables -A INPUT -j DROP -p all -s 123.123.123.123
Если «атака» исходит с одного IP-адреса, вы можете вернуться к нему с помощью маршрутизации blackhole:
ip route add blackhole IP
Таким образом, его запрос никогда не получит ответа.
Хотя вы можете добавить правило iptables для блокировки этого IP-адреса, лучшим решением является использование правил добавления fail2ban для HTTP.