Время от времени я пролистываю наш (apache) журнал доступа и часто сталкиваюсь с людьми, пытающимися выудить страницы администратора. Например, они пытаются получить доступ к таким страницам, как:
/wp-login.php
/administrator/index.php
/admin.php
/user
Ни одна из этих страниц / каталогов на самом деле не существует, поскольку их никогда не было, или я переименовал их в нечто не слишком очевидное.
Итак, активно ли люди блокируют подобные запросы? Иногда я это делаю, но получаю много, и мне интересно, действительно ли это имеет значение. В настоящее время я блокирую хост или IP в моем файле httpd.conf.
Я ни о чем не волнуюсь?
(FYI - запуск Apache на сервере на базе Linux).
РЕДАКТИРОВАТЬ: С точки зрения «субпредприятия» (уровень малого и среднего бизнеса).
Блокировка таких запросов на уровне брандмауэра дает ряд преимуществ, а именно:
Вы упомянули блокировку хостов в httpd.conf. Это не так полезно ... Боты все равно получают 404, отправка другого кода ошибки не принесет ни пользы, ни вреда (что будет делать все блокирование в httpd.conf)
Единственное преимущество блокировки в httpd.conf состоит в том, что злонамеренный хост, который пытается взломать несуществующую страницу сейчас, может попытаться взломать реальную страницу позже. Конечно, вы можете получить то же преимущество, блокируя на уровне брандмауэра, наряду с другими преимуществами, упомянутыми выше.
tl; dr: блокировать запросы с помощью fail2ban, а не с помощью httpd.conf
Некоторые люди блокируют эти запросы. Однако делать это вроде как бессмысленно, поскольку они безвредны. Сканеры постоянно сканируют Интернет в поисках чего-либо, будь то то, что нужно взломать, или что нужно проиндексировать. Эти типы сканирования не стоят проблем с блокировкой, и ваша блокировка может фактически помешать индексации или перехвату реального пользователя, использующего IP-адрес с таким ботом (редко).
Если записи журнала вас беспокоят, вероятно, вам следует использовать агрегатор журналов; просмотр журналов - отстой, и вы пропустите что-то, и вы будете зацикливаться на нерелевантных вещах, подобных этому.
В нашей организации мы используем брандмауэр веб-приложений (модуль безопасности приложений [ASM] из F5), чтобы блокировать такие запросы. Он работает, сначала изучая базу данных приемлемых URL-адресов. Он достаточно умен, чтобы определить все статические ссылки, а также ссылки, которые могут быть переменными. Например, если в запрос включен токен или уникальный идентификатор, он установит ограничения на его длину в URL-адресе на основе того, что он видел в прошлом. Кроме того, он имеет регулярно обновляемую базу данных других вещей, за которыми он следит, например, SQL или BASH в URL-адресе или строке пользовательского агента.
Хотя вы можете не быть уязвимыми прямо сейчас для типов атак, которые вы наблюдаете, вы не можете гарантировать, что не будете уязвимы в будущем или что вы уязвимы для чего-то, что вы просто еще не видели или еще не обнаружено. Более того, подобное решение может помочь защититься от DDoS-атак. Вы знаете, что вас регулярно атакуют, и это требует некоторых затрат на обработку в вашей инфраструктуре, которые можно было бы уменьшить. Если вы знаете, что на вас регулярно нацелены: 1) кто-то действительно очень старается попасть туда, 2) вы очевидная цель или 3) вы очень ценная цель. Чаще всего это 2), и чаще всего это из широкого диапазона исходных IP-адресов, поэтому его нелегко заблокировать.
Что касается того, стоит ли это денег, это действительно бизнес-решение. Вы должны взвесить стоимость потенциального нарушения и стоимость решения или решений, как при наличии страхового полиса. Он может не охватывать все ситуации и, возможно, никогда не окупится. Или это может быть то, что вас спасает.