Недавно я установил крошечный Debian VPS для хостинга нескольких личных сайтов.
В журналах доступа Apache я заметил довольно много запросов на URL, например /phpMyAdmin-2.6.4/scripts/setup.php исходящий с одного конкретного IP-адреса. Рассматриваемый IP-адрес указан на Проектная приманка. В последнее время они не замечали никакой подозрительной активности, но сегодня утром я получил эти запросы.
Я не запускаю ни одну из служб, которые, похоже, ищет IP-адрес, но мне было интересно, следует ли мне блокировать все запросы с этого IP-адреса с помощью брандмауэра на моем сервере. Я думаю, это, по крайней мере, очистит мои журналы доступа, и если это один IP-адрес, в худшем случае я бы не заблокировал доступ к сайту многих пользователей, если бы он использовался в законных целях в будущем.
Я предпочитаю так поступать с упорными обидчиками. Вы также можете установить portsentry для прослушивания неиспользуемых портов и автоматической постоянной / временной блокировки нарушителей.
Сначала попробуйте его на настольном компьютере, это довольно просто, и вы можете использовать его в сценариях.
Это не остановит проверки PHP, но вы все равно должны проверять журналы (с помощью чего-то вроде logwatch) на предмет этих атак и тогда можете запретить постоянных нарушителей.
--редактировать--
Fail2ban может работать с «зондами» PHP: Fail2Ban PHP-зонды
--edit2--
PHPMyAdmin проверяет Fail2ban
--edit3--
Приносим извинения за все правки, но это я могу выложить! Очень просто, но эффективно останавливает ошибки 404: Fail2ban 404 с
На мой вопрос о том, как это сделать, было хорошее обсуждение достоинств fail2ban и т. Д. блокирование IP-адресов неудачных попыток входа в систему.
Есть несколько предложений инструментов для блокировки этих атак, в том числе fail2ban, но главное, что я понял, это то, что эти инструменты не позволяют добиться большего, чем очистка журналов - вам все равно нужно защитить свой сервер от атаки, потому что успешная атака может исходить откуда угодно и не обязательно запускать fail2ban.