Мне все эти скучные muieblackcatи подобные скрипты запускались на веб-сайтах. Могу ли я заблокировать IP-адрес (например, с помощью iptables) автоматически, примерно в течение часа, как только он обращается к example.com/muieblackcat?
Это в Linux с Apache.
Вы могли бы, но это сделало бы атаки типа «отказ в обслуживании» тривиальными. Все, что нужно сделать злоумышленнику, - это получить доступ к вашему сайту через тот же прокси-сервер, который я использую, и нажать один из этих URL-адресов, и тогда я не смогу получить доступ к вашему сайту. Есть еще целые города, которые используют веб-прокси.
Видеть Fail2Ban, он также может анализировать файлы журнала Apache.
Вместо этого рассмотрите возможность отложить эти запросы
HAProxy (и я предполагаю, что другие HTTP-прокси) имеют возможность определять «вредоносные» результаты сканирования и задерживать ответ (таким образом, временно замедляя сценарий атаки).
Если полностью заблокировать ответ, сценарий атаки сразу же перейдет к следующей цели.
Я бы начал с использования программы для просмотра файлов журнала; если осуществляется доступ к определенному URL-адресу, он должен отображаться в журналах Apache. Ты можешь использовать SEC следить за доступом к этому URL.
Когда происходит доступ по URL-адресу, SEC может запустить iptables команда для блокировки IP-адреса.