Я работаю над написанием набора правил для fail2ban, чтобы сделать жизнь немного интереснее для тех, кто пытается ворваться в мою систему. Подавляющее большинство попыток, как правило, вращаются вокруг попытки войти в phpinfo () через мой веб-сервер, как показано ниже.
GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1
GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1
GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1
GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1
Мне интересно, есть ли у пользователя веская причина для попытки доступа к phpinfo () через apache, поскольку в противном случае я могу просто использовать это, или, более конкретно, регулярное выражение
GET //[^>]+=phpinfo\(\)
как фильтр для устранения этих атак
хорошо - если вы можете выполнить команду phpinfo таким образом [через некоторую уязвимость в php, которая оценкаs код, предоставленный url] - его также можно использовать для загрузки некоторого двоичного файла и его выполнения или, возможно, для включения кода с удаленного сервера.
в любом случае - на вашем месте - я бы предпринял действия, видя не только phpinfo в URL-адресе, но и любые запросы с результатом 404 к phpmyadmin / pma / другим популярным веб-скриптам.
тем не менее - не забывайте регулярно проверять, какое программное обеспечение установили ваши пользователи, чтобы избежать устаревших phpbbs / phpmyadmins и других. и защитите свой сервер - взгляните Вот и Вот.